Les NAS Western Digital réinitialisés sans raison ont bien été piratés

Félix Cattafesta |

Comme on vous l'expliquait la semaine dernière, des clients de Western Digital ont vu leur NAS My Book Live formaté sans aucune action de leur part. Pour beaucoup d'entre eux, ce sont des dizaines de To de données qui ont été supprimés en quelques minutes. Le fabricant a depuis confirmé que ces NAS avaient été en fait hackés à distance, comme le rapporte Ars Technica qui a participé aux recherches.

Les malfaiteurs ont utilisé deux failles. La première est la CVE-2018-18472, découverte en 2018 et permettant à quiconque connaissant l'adresse IP d'un My Book Live d'avoir un accès administrateur au NAS. Cette faille a été découverte trois ans après la fin de la prise en charge officielle du produit par Western Digital. L'entreprise n'a donc jamais pris le temps de la corriger et certains NAS ont pu être infectés par un botnet appelé Linux.Ngioweb.

L'autre faille est basée sur le script PHP system_factory_restore qui permet de réinitialiser le disque dur. Celui-ci est habituellement protégé par un mot de passe, mais les lignes de commandes liées à cette protection ont été désactivées en 2011. Elles ont été mises en commentaires (derrière des doubles slash) par un développeur de Western Digital à l'occasion d'une refonte du code. Sans cette protection, un hackeur lançant la bonne requête web peut alors réinitialiser le disque dur sans aucune vérification.

La question est : pourquoi utiliser deux failles différentes quand les deux permettent d'avoir un accès aux commandes de réinitialisation ? Ars Technica évoque la piste d'un conflit entre deux hackers s'étant entre-sabotés, l'un voulant supprimer le réseau de botnet de l'autre.

Western Digital a annoncé qu'il allait fournir une solution de récupération de données dès le début du mois de juillet. En attendant, l'entreprise recommande toujours de garder son NAS My Book Live déconnecté. Les clients concernés sont aussi éligibles à un programme d'échange pour obtenir gratuitement un nouveau produit de la marque My Cloud Live. Le directeur des technologies de la firme de sécurité Censys a analysé ces nouveaux produits et explique qu'ils sont basés sur du code entièrement réécrit : en théorie, il ne devrait donc pas y avoir de problème. Pas sûr que cela suffise à convaincre les possesseurs d'un My Book Live de rester chez Western Digital…

Source
ArsTechica
Tags
#western digital #nas
avatar RonDex | 

@globeman

🙄

avatar oboulot | 

« Celui-ci est habituellement protégé par un mot de passe, mais les lignes de commandes liées à cette protection ont été désactivées en 2011. Elles ont été mises en commentaires (derrière des doubles slash) par un développeur de Western Digital à l'occasion d'une refonte du code »

Oh le con ! :-0

avatar frascorpion | 

Ça tombe bien puisque j’ai commandé boitier NAS Synology DS220+ 🤩 car mon WD my cloud EX2 (non Ultra) qui n’est plus à jour depuis 2015 et vraiment limité comme fonctionnalité 😒
Bye bye Western Digital…

avatar Bozzo (non vérifié) | 

Moi je copie tout à la main sur du papier.
Pas de risque de se le faire effacer à distance !
🤣

avatar cosmoboy34 | 

Éteindre le feu une fois qu’il brûle….

avatar didloan92 | 

Aucune information sur ce programme de remplacement proposé par Western Digital ? Merci

avatar radeon | 

Moi j’ai un wdmycloud mais que j’ai passé sur un portage officieux de dsm… en attendant de m’offrir un vrai synology

avatar irishboy | 

Je pense pas qu’on puisse parler de solution de backup idéale sans s’y connaître réellement dans la mesure où backup local ne suffit absolument pas. Un disque dur défaillant ça arrive tout le temps. Et quelqu’un en mesure de gérer le backup de ce backup ça ne dépasse pas 2% d’entre nous (malheureusement). Si quelqu’un peut offrir un début de piste simplifiée je suis preneur.

Par contre je trouve ça absolument incroyable qu’une solution de backup vendue comme locale se rende aussi vulnérable à distance. C’est un scandale compensé par un vulgaire remplacement d’une unité à jour qui ne le sera plus dans 6-7 ans parce que encore connectée et que le développeur aura aussi commenté sa ligne de code ?

avatar occam | 

@irishboy

> "Un disque dur défaillant ça arrive tout le temps."

Tout le temps ? Non. On peut en estimer la fréquence.
Les taux de défaillance par cohorte sont publiés régulièrement. En outre, il existe de bons outils de monitoring qui permettent de prédire les défaillances des disques durs modernes de qualité. Avec, ce qui est crucial, plus d’avance que sur SSD. Il ne faut même pas débourser un sou : le monitoring du DSM de Synology est assez fiable.
En plus, la probabilité de défaillance simultanée de plusieurs disques sur un même NAS est extrêmement faible. C’est pourquoi le stockage redondant sur des systèmes multi-disques tolérant la défaillance de plusieurs unités sans perte de données, et avec reconstitution automatique des volumes, est largement préférable.

> "Et quelqu’un en mesure de gérer le backup de ce backup ça ne dépasse pas 2% d’entre nous (malheureusement). Si quelqu’un peut offrir un début de piste simplifiée je suis preneur."

https://www.synology.com/en-global/dsm/feature/hyper_backup

Hyper Backup, le package standard offert par Synology, permet des backups en cascade d’un NAS à un autre, d’un volume à un autre, d’un NAS à un boîtier d’expansion, d’un NAS local à un volume en réseau, etc.
Backup incrémental, backup de backup, backup de backup de backup... potentiellement à l’infini, vous voyez le tableau. Le tout en arrière-plan, économe en ressource, vous permettant de recycler des NAS plus anciens comme unité de backup. (Le plus ancien de mon parc date de 2013.)

Degré de difficulté ? Pas plus que Carbon Copy Cloner.
Et c’est bien balisé. On choisit la source, le volume de backup et la périodicité, on enregistre, et ça marche.

avatar radeon | 

Ce qui peut être bien c’est de backup son nas avec un proche, je backup mon nas sur le sien et vice versa via un vpn privé et chiffré, mais il faudrait être fibré des deux côtés

avatar starsk | 

"Pas sûr que cela suffise à convaincre..." les gens comme moi à acheter, au grand jamais, un disque connecté... on voit bien ce qui arrive avec ce genre de choses...

avatar starsk | 

La seule solution de Backup valable pour nos données importantes, c'est le double backup... c'est lourd au possible, mais c'est ce que je fais... ça permet quand même de faire le tri entre l'important et le superflus...

avatar radeon | 

Back blaze propose une solution sympa aussi

avatar Lum | 

Je suis passé à Debian sur un My Cloud Home, c’est tellement mieux ( https://nerdprojekte.wordpress.com/2021/02/22/wd-my-cloud-home-to-linux-server-2-installation/ )

avatar bugman | 

« Cette faille [passage en admin] a été découverte trois ans après la fin de la prise en charge officielle du produit par Western Digital. L'entreprise n'a donc jamais pris le temps de la corriger… »

Ça donne envie d’investir dans cette marque. 😆

Pages

CONNEXION UTILISATEUR