Remco Vermeulen de la société Securify détaille le procédé permettant de contourner la procédure d'identification, et ainsi disposer d'un accès administrateur sur le NAS.
Mais le plus intéressant – ou grave, au choix – dans cette histoire est le calendrier : la brèche a été signalée en avril 2017, sans aucune réponse de Western Digital depuis. Le chercheur a finalement publié les détails le 18 septembre.
Suite à cette révélation, Exploitee.rs en rajoute une couche, affirmant de son côté avoir lui aussi découvert cette faille l'année dernière. Il l'avait alors signalée à Western Digital et présenté à la conférence DEF CON de l'année dernière, là encore sans aucune réponse ou correctif de la part du fabricant.
Finalement, il a fallu attendre hier soir pour que le fabricant sorte du bois. Il indique être au courant du problème et affirme « finaliser une mise à jour » qui arrivera d'ici… « quelques semaines ». Une dizaine de références My Cloud sont concernées, mais pas le My Cloud Home.
Comme pour essayer de minimiser la portée, le fabricant ajoute qu'il faut que l'attaquant ait accès au réseau local de la victime, ou bien que l'accès à distance ait été activé dans les paramètres par le propriétaire.
Le fabricant n'en est pas à son coup d'essai dans le domaine des réponses bancales. Il a d'ailleurs été « récompensé » d'un Pwnie Award en 2016 dans la catégorie « Lamest Vendor Response ».
Alors que le chiffrement des disques durs de WD partait en fumée à cause « de vulnérabilités rudimentaires » expliquait alors Forbes, le fabricant était simplement en train « d'évaluer les observations ».
Commentaires (2)
#1
Je vous déconseille ces NAS, j’en ai un et ce sera mon dernier WD. J’ai une utilisation basique donc ça va, mais oublier les mises à jours du peu d’applications présentes dessus, et bon courage pour trouver des applications à installer manuellement.
#2
j’aime bien les réponses de WD, ça me fait penser au mème/à la bd où on voit un chien au milieu de ça baraque en feu “this is fine”
" />