Les NAS Western Digital réinitialisés sans raison ont bien été piratés

Félix Cattafesta |

Comme on vous l'expliquait la semaine dernière, des clients de Western Digital ont vu leur NAS My Book Live formaté sans aucune action de leur part. Pour beaucoup d'entre eux, ce sont des dizaines de To de données qui ont été supprimés en quelques minutes. Le fabricant a depuis confirmé que ces NAS avaient été en fait hackés à distance, comme le rapporte Ars Technica qui a participé aux recherches.

Les malfaiteurs ont utilisé deux failles. La première est la CVE-2018-18472, découverte en 2018 et permettant à quiconque connaissant l'adresse IP d'un My Book Live d'avoir un accès administrateur au NAS. Cette faille a été découverte trois ans après la fin de la prise en charge officielle du produit par Western Digital. L'entreprise n'a donc jamais pris le temps de la corriger et certains NAS ont pu être infectés par un botnet appelé Linux.Ngioweb.

L'autre faille est basée sur le script PHP system_factory_restore qui permet de réinitialiser le disque dur. Celui-ci est habituellement protégé par un mot de passe, mais les lignes de commandes liées à cette protection ont été désactivées en 2011. Elles ont été mises en commentaires (derrière des doubles slash) par un développeur de Western Digital à l'occasion d'une refonte du code. Sans cette protection, un hackeur lançant la bonne requête web peut alors réinitialiser le disque dur sans aucune vérification.

La question est : pourquoi utiliser deux failles différentes quand les deux permettent d'avoir un accès aux commandes de réinitialisation ? Ars Technica évoque la piste d'un conflit entre deux hackers s'étant entre-sabotés, l'un voulant supprimer le réseau de botnet de l'autre.

Western Digital a annoncé qu'il allait fournir une solution de récupération de données dès le début du mois de juillet. En attendant, l'entreprise recommande toujours de garder son NAS My Book Live déconnecté. Les clients concernés sont aussi éligibles à un programme d'échange pour obtenir gratuitement un nouveau produit de la marque My Cloud Live. Le directeur des technologies de la firme de sécurité Censys a analysé ces nouveaux produits et explique qu'ils sont basés sur du code entièrement réécrit : en théorie, il ne devrait donc pas y avoir de problème. Pas sûr que cela suffise à convaincre les possesseurs d'un My Book Live de rester chez Western Digital…


avatar _Lion04_ | 

Y a un an, j’hésitais d’acheter un NAS chez WD en me disant que j’étais plus à l’abris des piratages, et bien j’ai bien fait de choisir iCloud au final.

avatar andr3 | 

@_Lion04_

ICloud est un système de synchronisation entre équipements Apple (principalement), tandis que un NAS permet, entre autre chose, de faire du backup.

avatar RonDex | 

@andr3

C’est extrêmement réducteur. C’est comme dire si un iPhone permet de téléphoner.
Je me demande comment je faisais avant d’avoir 1 NAS (DS918+). DSM 7 en version finale hier 🤗

avatar bugman | 

@RonDex

On a le même, super Nas.

avatar RonDex | 

@bugman

J’en ai eu deux avant celui-là : DS409 et DS413
Fidèle à Synology 😅

avatar 0MiguelAnge0 | 

@_Lion04_

Le gros problème snt que ces boîtes un NAS personnel disponible partout à distance en poussant les clients à les exposer en dehors du firewall, car le code est robuste.
Mais il y aura toujours des failles.

J’ai un NAS. Quand j’ai lu le mécanisme proposait par le fabriquant pour l’avoir connecté, je n’ai jamais activé l’option. Pourtabt j’accède à son contenu de n’importe où, de manière sécurisée et le plus important en maîtrisant chaque maillon de la chaîne.

Il est vrai que pour un utilisateur moins geek, le mieux est de se tourner vers des solutions dans les nuages où ne pas l’exposer en dehors de son reséau personnel.

avatar RonDex | 

@0MiguelAnge0

Il y a des solutions parfaitement sécurisé. On trouve des tutoriels pour sécuriser son adresse sur Internet et YouTube.
On peut également par exemple utiliser un VPN entre son NAS et son ordinateur, tablette ou smartphone. C’est très simple à mettre en place.
En tout cas sur les Synology. Sur les autres, je ne sais pas.

avatar Xap | 

@_Lion04_

iCloud c’est de la synchronisation, pas de la sauvegarde.

L’équivalent cloud d’utiliser un NAS pour de la sauvegarde, c’est BackBlaze.

avatar iGas | 

@Xap

Ça dépend du besoin mais c’est aussi du stockage (distant). Je m’en sers pour tout sauvegarder de mon côté.

avatar oboulot | 

@_Lion04_

iCloud a déjà était piraté il y a quelques années

avatar R-APPLE-R | 

J’ai le même raisonnement en général j’ai donc un MyBook Duo de 20TB en Raid 1 qui n’est pas connecté à internet et qui est moins cher !
Et si je veux qu’il soit connecté à internet alors il devra le faire depuis mon Mac .

avatar raoolito | 

@R-APPLE-R

exactement, c'est moins cher et plus simple.

avatar wataru | 

Perso j’ai fait mon propre NAS à partir d’une Raspberry Pi 4. Alors certes comme je ne suis pas ingénieur réseau, que je ne comprend pas grand chose à ce que je fais, il est très certainement bourré de faille, mais justement, il y a tellement de faille que les rares hackers qui voudront y toucher seront perdus et penseront que c’est un piège. Donc mon système de sécurité est PAS DE SÉCURITÉ !

avatar jojolatatane | 

@wataru

😂

avatar noooty | 

@wataru

Tête du hacker devant ton serveur:
👾😑😵‍💫🤯
Tête de Wataru devant le hacker:
😜🤣🤪

avatar Sgt. Pepper | 

@wataru

🤦‍♂️
(J’espère que c’est ironique)

avatar wataru | 

@Sgt. Pepper

En vrai, à moitié. J’ai tout de même mis en place des sécurités, et j’utilise Open media vault. Mais je suis juste développeur et non administrateur système.

avatar Sindanárië | 

Hin hin hin 😈

avatar gemrosh | 

Vraiment du grand n’importe quoi WD…

avatar instantcook | 

Il y a une procédure pour contacter WD et mettre en place cet échange ?

avatar Sgt. Pepper | 

Un collègue se moquait de mon Backup cloud, et vantait son NAS: d’un coup il est devenu plus modeste 🤷‍♂️

La correction des failles sur le long terme est le talon d’Achille de solution in-house.

avatar sachouba | 

@Sgt. Pepper

Est-ce qu'il s'est moqué de toi le jour où le service où tu stockais tes données, Megaupload, a fermé du jour au lendemain suite à une intervention des autorités (2012), les emails/mots de passe des utilisateurs de Dropbox ont été partagés en ligne (2012), des photos privées stockées sur iCloud ont été volées et publiés en ligne (2014), des vidéos appartenant à d'autres utilisateurs ont été envoyées à des inconnus via Google Takeout (2019), le serveur ou tu stockais des données chez OVH a brûlé avec ses sauvegardes (2021), ou le jour où ton compte Apple/Google/Microsoft a été suspendu arbitrairement et définitivement parce que tu "enfreins les conditions d'utilisation" ?

Le cloud c'est bien, le NAS c'est bien (surtout quand c'est à jour !), mais les deux ont des avantages et des inconvénients.

avatar Xap | 

@sachouba

“des photos privées stockées sur iCloud ont été volées et publiés en ligne (2014)”

Grâce à des techniques d’ingénierie sociale, rien a voir avec le service utilisé.

avatar sachouba | 

@Xap

Si iCloud utilisait alors (ou au moins permettait) l'authentification à 2 facteurs (comme une bonne partie de ses concurrents, Google en tête), personne n'aurait pu avoir accès aux photos des stars.

avatar Xap | 

@sachouba

Suffit pas de l’avoir disponible, faut aussi forcer les utilisateurs à l’utiliser.

“There is no patch for human stupidity”

avatar bonnepoire | 

@ sachouba
Très réducteur comme toujours. Tu compares des failles de sécurité à de l'ingénierie sociale...

avatar lucasg42 | 

Purée heureusement que j’ai fini par le remplacer par un Synology avec Plex il y a 3 mois !!! 😳

avatar RonDex | 

@lucasg42

Sécuriser NAS en 10 étapes
https://youtu.be/BwTTkmhMHCQ

avatar lucasg42 | 

@RonDex

Merci c’est bon à prendre !

avatar bonnepoire | 

@ lucasg42
Sur un Synology tu as un conseiller en sécurité qui te montre où tu dois porter ton attention et quelles sont les faiblesses de ta config.

avatar MarcMame | 

@bonnepoire

"Sur un Synology tu as un conseiller en sécurité qui te montre où tu dois porter ton attention et quelles sont les faiblesses de ta config."

————
C’est très sommaire et basique mais pas complètement inutile.

avatar RonDex | 

@bonnepoire

En effet, mais c’est loin d’être suffisant pour sécuriser complètement son NAS.
Mais c’est en effet un bon outil.

avatar AhRiMaN | 

Les clients concernés sont aussi éligibles à un programme d'échange pour obtenir gratuitement un nouveau produit de la marque My Cloud Live"

C'est comme si ta Peugeot prenait feu subitement et que le constructeur te disait "vous en faites pas on vous en file une autre"
Ca va aller merci

avatar debione | 

Au pire tu prends et tu revends hein! Et encore, la plupart des gens qui ont renvoyé leurs samsung à cause de la batterie ont du reprendre un samsung.

avatar quentinf33 (non vérifié) | 

@debione

Je crois de mémoire qu’ils avaient pu avoir un remboursement total. De souvenir quand je bossais en fast food, un client avec qui j’avais sympathisé m’avait dit qu’il avait demandé remboursement pour se tourner vers l’iPhone.

avatar XiliX | 

A mon avis, ça sent un développeur qui a oublié de sortir du mode débug :grin:

avatar xDave | 

« les lignes de commandes liées à cette protection ont été désactivées en 2011. Elles ont été mises en commentaires (derrière des doubles slash) par un développeur de Western Digital à l'occasion d'une refonte du code. »

Ah ouais quand même.
Et les clients ont été ravi de faire cette mise à jour en 2011.
Et cette bêtise est restée dans le code pendant 4 ans, c’est ça ? (Produit arrêté en 2015)

avatar mk3d | 

🤨🧐😃😄😁😆😂🤣

avatar pagaupa | 

😂😂😂 le coup du piratage ! 😂😂😂 fallait oser!

avatar Willie Lamothe | 

WD ! Un vrai bande de troue du C

avatar laraigneegypsymontealagouttiere | 

Moralité faut pas avoir de NAS connecté au net si on veut sécuriser ses données

Mon NAS n’est jamais connecté mais surtout je l’allume également quand j’ai besoin au lieu de le laisser allumé, non seulement sa durée de vie et ma facture d’électricité me disent merci

Quand on le réactive le NAS est accessible au bout de seulement 5 secondes

avatar RonDex | 

@laraigneegypsymontealagouttiere

Absolument pas. Le miens est connecté à Internet. C’est d’ailleurs tout l’intérêt d’avoir un NAS. Sinon une très grande partie des fonctionnalités je ne serai pas disponible. Il faut juste faire attention.
Il faut configurer correctement son appareil. C’est comme ne pas ouvrir des sites Web le louche depuis son ordinateur, Des pièces jointes, etc.

Sécuriser NAS en 10 étapes
https://youtu.be/BwTTkmhMHCQ

avatar MarcMame | 

@laraigneegypsymontealagouttiere

"Quand on le réactive le NAS est accessible au bout de seulement 5 secondes"

5 secondes ?
J’aimerais voir ça.

avatar laraigneegypsymontealagouttiere | 

@MarcMame

Si tu laisses ton NAS en veille au lieu de l’éteindre normalement oui

avatar MarcMame | 

@laraigneegypsymontealagouttiere

"Si tu laisses ton NAS en veille au lieu de l’éteindre normalement oui"

———-
Tout ton argumentaire est basé sur le fait que ton NAS est éteint quand tu ne t’en sert pas. Pas en veille.

avatar laraigneegypsymontealagouttiere | 

@MarcMame

Pardon tu as raison

Quand j’ai rédigé mon post tout laisse à croire qu’il est éteint
Je rectifie donc

Je n’utilise pas mon NAS allumé H24 mais bien en veille quand je n’en ai pas besoin

Ça consomme rien en veille et pas de bruit et pas de chauffe

Et dès que j’en ai besoin je le réactive et il est dispo en moins de 5 secondes

avatar MarcMame | 

@laraigneegypsymontealagouttiere

"Et dès que j’en ai besoin je le réactive et il est dispo en moins de 5 secondes"
———
Ce sont des SSD ?
Parce que les 5 disques durs de 8To de mon synology, mettent bien 30s entre la sortie de veille et le plein accès.
Je ne connais pas un seul disque dur à plateaux qui soit dispo en moins de 5 secondes depuis l’arrêt total.

avatar laraigneegypsymontealagouttiere | 

@MarcMame

Non ce sont bien 4 x 4 To sur mon QNAP, pas de SSD

Ne connaissant pas les Syno je ne peux pas trop comparer

Mais de mon côté la sortie de veille est vraiment rapide en passant par l’interface Web

Ce n’est pas le cas en montant le NAS en smb sur le Finder mais comme je me sers majoritairement de l’interface web pour les transferts ça ne me dérange pas

avatar iVador | 

C’est mon NAS mais je n’ai pas eu de reset.
Puis je savoir s’il a été piraté ?

avatar globeman | 

Risque de piratage, risques liés au vols et incendie, un NAS n’a que très peu d’avantage pour le particulier face au cloud maintenant

Pages

CONNEXION UTILISATEUR