Les NAS Western Digital réinitialisés sans raison ont bien été piratés
Comme on vous l'expliquait la semaine dernière, des clients de Western Digital ont vu leur NAS My Book Live formaté sans aucune action de leur part. Pour beaucoup d'entre eux, ce sont des dizaines de To de données qui ont été supprimés en quelques minutes. Le fabricant a depuis confirmé que ces NAS avaient été en fait hackés à distance, comme le rapporte Ars Technica qui a participé aux recherches.
Les malfaiteurs ont utilisé deux failles. La première est la CVE-2018-18472, découverte en 2018 et permettant à quiconque connaissant l'adresse IP d'un My Book Live d'avoir un accès administrateur au NAS. Cette faille a été découverte trois ans après la fin de la prise en charge officielle du produit par Western Digital. L'entreprise n'a donc jamais pris le temps de la corriger et certains NAS ont pu être infectés par un botnet appelé Linux.Ngioweb.
L'autre faille est basée sur le script PHP system_factory_restore qui permet de réinitialiser le disque dur. Celui-ci est habituellement protégé par un mot de passe, mais les lignes de commandes liées à cette protection ont été désactivées en 2011. Elles ont été mises en commentaires (derrière des doubles slash) par un développeur de Western Digital à l'occasion d'une refonte du code. Sans cette protection, un hackeur lançant la bonne requête web peut alors réinitialiser le disque dur sans aucune vérification.
La question est : pourquoi utiliser deux failles différentes quand les deux permettent d'avoir un accès aux commandes de réinitialisation ? Ars Technica évoque la piste d'un conflit entre deux hackers s'étant entre-sabotés, l'un voulant supprimer le réseau de botnet de l'autre.
Western Digital a annoncé qu'il allait fournir une solution de récupération de données dès le début du mois de juillet. En attendant, l'entreprise recommande toujours de garder son NAS My Book Live déconnecté. Les clients concernés sont aussi éligibles à un programme d'échange pour obtenir gratuitement un nouveau produit de la marque My Cloud Live. Le directeur des technologies de la firme de sécurité Censys a analysé ces nouveaux produits et explique qu'ils sont basés sur du code entièrement réécrit : en théorie, il ne devrait donc pas y avoir de problème. Pas sûr que cela suffise à convaincre les possesseurs d'un My Book Live de rester chez Western Digital…
Y a un an, j’hésitais d’acheter un NAS chez WD en me disant que j’étais plus à l’abris des piratages, et bien j’ai bien fait de choisir iCloud au final.
@_Lion04_
ICloud est un système de synchronisation entre équipements Apple (principalement), tandis que un NAS permet, entre autre chose, de faire du backup.
@andr3
C’est extrêmement réducteur. C’est comme dire si un iPhone permet de téléphoner.
Je me demande comment je faisais avant d’avoir 1 NAS (DS918+). DSM 7 en version finale hier 🤗
@RonDex
On a le même, super Nas.
@bugman
J’en ai eu deux avant celui-là : DS409 et DS413
Fidèle à Synology 😅
@_Lion04_
Le gros problème snt que ces boîtes un NAS personnel disponible partout à distance en poussant les clients à les exposer en dehors du firewall, car le code est robuste.
Mais il y aura toujours des failles.
J’ai un NAS. Quand j’ai lu le mécanisme proposait par le fabriquant pour l’avoir connecté, je n’ai jamais activé l’option. Pourtabt j’accède à son contenu de n’importe où, de manière sécurisée et le plus important en maîtrisant chaque maillon de la chaîne.
Il est vrai que pour un utilisateur moins geek, le mieux est de se tourner vers des solutions dans les nuages où ne pas l’exposer en dehors de son reséau personnel.
@0MiguelAnge0
Il y a des solutions parfaitement sécurisé. On trouve des tutoriels pour sécuriser son adresse sur Internet et YouTube.
On peut également par exemple utiliser un VPN entre son NAS et son ordinateur, tablette ou smartphone. C’est très simple à mettre en place.
En tout cas sur les Synology. Sur les autres, je ne sais pas.
@_Lion04_
iCloud c’est de la synchronisation, pas de la sauvegarde.
L’équivalent cloud d’utiliser un NAS pour de la sauvegarde, c’est BackBlaze.
@Xap
Ça dépend du besoin mais c’est aussi du stockage (distant). Je m’en sers pour tout sauvegarder de mon côté.
@_Lion04_
iCloud a déjà était piraté il y a quelques années
J’ai le même raisonnement en général j’ai donc un MyBook Duo de 20TB en Raid 1 qui n’est pas connecté à internet et qui est moins cher !
Et si je veux qu’il soit connecté à internet alors il devra le faire depuis mon Mac .
@R-APPLE-R
exactement, c'est moins cher et plus simple.
Perso j’ai fait mon propre NAS à partir d’une Raspberry Pi 4. Alors certes comme je ne suis pas ingénieur réseau, que je ne comprend pas grand chose à ce que je fais, il est très certainement bourré de faille, mais justement, il y a tellement de faille que les rares hackers qui voudront y toucher seront perdus et penseront que c’est un piège. Donc mon système de sécurité est PAS DE SÉCURITÉ !
@wataru
😂
@wataru
Tête du hacker devant ton serveur:
👾😑😵💫🤯
Tête de Wataru devant le hacker:
😜🤣🤪
@wataru
🤦♂️
(J’espère que c’est ironique)
@Sgt. Pepper
En vrai, à moitié. J’ai tout de même mis en place des sécurités, et j’utilise Open media vault. Mais je suis juste développeur et non administrateur système.
Hin hin hin 😈
Vraiment du grand n’importe quoi WD…
Il y a une procédure pour contacter WD et mettre en place cet échange ?
Un collègue se moquait de mon Backup cloud, et vantait son NAS: d’un coup il est devenu plus modeste 🤷♂️
La correction des failles sur le long terme est le talon d’Achille de solution in-house.
@Sgt. Pepper
Est-ce qu'il s'est moqué de toi le jour où le service où tu stockais tes données, Megaupload, a fermé du jour au lendemain suite à une intervention des autorités (2012), les emails/mots de passe des utilisateurs de Dropbox ont été partagés en ligne (2012), des photos privées stockées sur iCloud ont été volées et publiés en ligne (2014), des vidéos appartenant à d'autres utilisateurs ont été envoyées à des inconnus via Google Takeout (2019), le serveur ou tu stockais des données chez OVH a brûlé avec ses sauvegardes (2021), ou le jour où ton compte Apple/Google/Microsoft a été suspendu arbitrairement et définitivement parce que tu "enfreins les conditions d'utilisation" ?
Le cloud c'est bien, le NAS c'est bien (surtout quand c'est à jour !), mais les deux ont des avantages et des inconvénients.
@sachouba
“des photos privées stockées sur iCloud ont été volées et publiés en ligne (2014)”
Grâce à des techniques d’ingénierie sociale, rien a voir avec le service utilisé.
@Xap
Si iCloud utilisait alors (ou au moins permettait) l'authentification à 2 facteurs (comme une bonne partie de ses concurrents, Google en tête), personne n'aurait pu avoir accès aux photos des stars.
@sachouba
Suffit pas de l’avoir disponible, faut aussi forcer les utilisateurs à l’utiliser.
“There is no patch for human stupidity”
@ sachouba
Très réducteur comme toujours. Tu compares des failles de sécurité à de l'ingénierie sociale...
Purée heureusement que j’ai fini par le remplacer par un Synology avec Plex il y a 3 mois !!! 😳
@lucasg42
Sécuriser NAS en 10 étapes
https://youtu.be/BwTTkmhMHCQ
@RonDex
Merci c’est bon à prendre !
@ lucasg42
Sur un Synology tu as un conseiller en sécurité qui te montre où tu dois porter ton attention et quelles sont les faiblesses de ta config.
@bonnepoire
"Sur un Synology tu as un conseiller en sécurité qui te montre où tu dois porter ton attention et quelles sont les faiblesses de ta config."
————
C’est très sommaire et basique mais pas complètement inutile.
@bonnepoire
En effet, mais c’est loin d’être suffisant pour sécuriser complètement son NAS.
Mais c’est en effet un bon outil.
Les clients concernés sont aussi éligibles à un programme d'échange pour obtenir gratuitement un nouveau produit de la marque My Cloud Live"
C'est comme si ta Peugeot prenait feu subitement et que le constructeur te disait "vous en faites pas on vous en file une autre"
Ca va aller merci
Au pire tu prends et tu revends hein! Et encore, la plupart des gens qui ont renvoyé leurs samsung à cause de la batterie ont du reprendre un samsung.
@debione
Je crois de mémoire qu’ils avaient pu avoir un remboursement total. De souvenir quand je bossais en fast food, un client avec qui j’avais sympathisé m’avait dit qu’il avait demandé remboursement pour se tourner vers l’iPhone.
A mon avis, ça sent un développeur qui a oublié de sortir du mode débug :grin:
« les lignes de commandes liées à cette protection ont été désactivées en 2011. Elles ont été mises en commentaires (derrière des doubles slash) par un développeur de Western Digital à l'occasion d'une refonte du code. »
Ah ouais quand même.
Et les clients ont été ravi de faire cette mise à jour en 2011.
Et cette bêtise est restée dans le code pendant 4 ans, c’est ça ? (Produit arrêté en 2015)
🤨🧐😃😄😁😆😂🤣
😂😂😂 le coup du piratage ! 😂😂😂 fallait oser!
WD ! Un vrai bande de troue du C
Moralité faut pas avoir de NAS connecté au net si on veut sécuriser ses données
Mon NAS n’est jamais connecté mais surtout je l’allume également quand j’ai besoin au lieu de le laisser allumé, non seulement sa durée de vie et ma facture d’électricité me disent merci
Quand on le réactive le NAS est accessible au bout de seulement 5 secondes
@laraigneegypsymontealagouttiere
Absolument pas. Le miens est connecté à Internet. C’est d’ailleurs tout l’intérêt d’avoir un NAS. Sinon une très grande partie des fonctionnalités je ne serai pas disponible. Il faut juste faire attention.
Il faut configurer correctement son appareil. C’est comme ne pas ouvrir des sites Web le louche depuis son ordinateur, Des pièces jointes, etc.
Sécuriser NAS en 10 étapes
https://youtu.be/BwTTkmhMHCQ
@laraigneegypsymontealagouttiere
"Quand on le réactive le NAS est accessible au bout de seulement 5 secondes"
5 secondes ?
J’aimerais voir ça.
@MarcMame
Si tu laisses ton NAS en veille au lieu de l’éteindre normalement oui
@laraigneegypsymontealagouttiere
"Si tu laisses ton NAS en veille au lieu de l’éteindre normalement oui"
———-
Tout ton argumentaire est basé sur le fait que ton NAS est éteint quand tu ne t’en sert pas. Pas en veille.
@MarcMame
Pardon tu as raison
Quand j’ai rédigé mon post tout laisse à croire qu’il est éteint
Je rectifie donc
Je n’utilise pas mon NAS allumé H24 mais bien en veille quand je n’en ai pas besoin
Ça consomme rien en veille et pas de bruit et pas de chauffe
Et dès que j’en ai besoin je le réactive et il est dispo en moins de 5 secondes
@laraigneegypsymontealagouttiere
"Et dès que j’en ai besoin je le réactive et il est dispo en moins de 5 secondes"
———
Ce sont des SSD ?
Parce que les 5 disques durs de 8To de mon synology, mettent bien 30s entre la sortie de veille et le plein accès.
Je ne connais pas un seul disque dur à plateaux qui soit dispo en moins de 5 secondes depuis l’arrêt total.
@MarcMame
Non ce sont bien 4 x 4 To sur mon QNAP, pas de SSD
Ne connaissant pas les Syno je ne peux pas trop comparer
Mais de mon côté la sortie de veille est vraiment rapide en passant par l’interface Web
Ce n’est pas le cas en montant le NAS en smb sur le Finder mais comme je me sers majoritairement de l’interface web pour les transferts ça ne me dérange pas
C’est mon NAS mais je n’ai pas eu de reset.
Puis je savoir s’il a été piraté ?
Risque de piratage, risques liés au vols et incendie, un NAS n’a que très peu d’avantage pour le particulier face au cloud maintenant
Pages