Failles des My Book Live (Duo) : les explications hallucinantes de Western DigitalCrédits : moshbidon/iStock

Il y a quelques jours, le fabricant demandait à ses clients de déconnecter en urgence leur NAS d’Internet à cause d’une faille pouvant entraîner l’effacement de l’ensemble des données. Dans un nouveau billet de blog, il donne des détails supplémentaires… qui font froid dans le dos.

Les firmwares des My Book Live « sont vulnérables à une injection de commande à distance » qui « peut être exploitée pour exécuter des commandes arbitraires avec les privilèges root ». Elle avait pour rappel été signalée en 2018, sans être corrigée depuis. Une seconde brèche – identifiée CVE-2021-35941 – permet la réinitialisation des paramètres d'usine sans aucune authentification. Elle a été introduite par le fabricant en personne en avril… 2011, soit il y a plus de 10 ans.

Lors d’une refonte du code, les procédures d’authentification ont été regroupées dans un unique fichier includes/component_config.php. Lors de la manœuvre, la procédure d’authentification dans system_factory_restore.php s’est par contre perdue en cours de route, permettant ainsi à n’importe qui de lancer une restauration des paramètres d’usine, avec la conséquence que l’on connaît.

Comme l’explique Ars Technica qui a étudié le code en question, la procédure d’authentification dans le fichier de restauration des paramètres d’usine a été mise en commentaire. Cette fonctionnalité est donc ouverte aux quatre vents à cause de quelques « // » au début de cinq lignes. Western Digital explique que des pirates ont parfois utilisé les deux failles l’une à la suite de l’autre : « La première vulnérabilité a été exploitée pour installer un logiciel malveillant sur le NAS, la seconde ensuite pour réinitialiser l'appareil » et ainsi effacer les traces. 

Le fabricant propose gratuitement à ses clients touchés un programme de récupération des données. De plus, tous les utilisateurs de My Book Live (duo) peuvent profiter d’un « programme d'échange » vers la gamme My Cloud (qui n’est pas touchée par ces failles), mais les conditions ne sont pas précisées. De nouveaux billets de blog viendront donner des détails.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !