Des chercheurs en sécurité ont récemment signalé une vulnérabilité dans les disques de stockage réseau Western Digital MyBook Live. La vulnérabilité a permis à un attaquant distant d'effacer les disques "grâce à un bogue dans une gamme de produits que l'entreprise a cessé de prendre en charge dans 2015, ainsi qu'une faille zero-day jusque-là inconnue.
Vulnérabilités graves dans les périphériques de stockage réseau Western Digital MyCloud
Cependant, le chercheur a souligné un « jour zéro de série similaire » situé dans un éventail beaucoup plus large de nouveaux périphériques de stockage réseau Western Digital MyCloud. Ce qui est effrayant, c'est que le bogue ne sera pas corrigé pour de nombreux clients qui ne peuvent pas ou ne veulent pas passer au dernier système d'exploitation..
Le défaut en question est un RCE (exécution de code distant) problème qui réside dans tous les périphériques connectés au réseau Western Digital (NAS) qui exécutent le système d'exploitation MyCloud 3. Il s'agit d'un système d'exploitation qui n'est plus pris en charge par l'entreprise.
en relation: CVE-2020-2509 et CVE-2021-36195 dans les périphériques QNAP Nas
« Les chercheurs Radek Domanski et Pedro Ribeiro avaient initialement prévu de présenter leurs découvertes au concours de piratage Pwn2Own à Tokyo l'année dernière.. Mais quelques jours seulement avant l'événement, Western Digital a publié MyCloud OS 5, qui a éliminé le bug qu'ils ont trouvé. Cette mise à jour a effectivement annulé leurs chances de participer à Pwn2Own, qui nécessite des exploits pour fonctionner avec le dernier micrologiciel ou logiciel pris en charge par l'appareil ciblé," a rapporté Brian Krebs.
Cependant, Il y a quelques mois, les chercheurs ont publié une vidéo YouTube détaillée montrant comment ils ont découvert une chaîne de failles permettant aux attaquants de mettre à jour à distance le micrologiciel d'un appareil vulnérable avec une porte dérobée malveillante.. Cela a été fait via un compte d'utilisateur peu privilégié avec un mot de passe vide.
Selon le duo de chercheurs, Western Digital n'a jamais répondu à leurs rapports. « Dans une déclaration fournie à KrebsOnSecurity, Western Digital a déclaré avoir reçu son rapport après Pwn2Own Tokyo 2020, mais qu'à l'époque, la vulnérabilité signalée avait déjà été corrigée par la sortie de My Cloud OS 5 », a expliqué Brian Krebs.
Qu'a dit Western Digital?
Il semble qu'ils n'aient pas contacté les chercheurs car ils n'avaient aucune question concernant la découverte.. Cela fait partie de la déclaration de la société Krebs récemment partagé:
La communication qui nous est parvenue a confirmé que l'équipe de recherche impliquée prévoyait de publier les détails de la vulnérabilité et nous a demandé de les contacter pour toute question.. Nous n'avions pas de questions donc nous n'avons pas répondu. Depuis, nous avons mis à jour notre processus et répondu à chaque signalement afin d'éviter à nouveau tout malentendu comme celui-ci. Nous prenons très au sérieux les rapports de la communauté des chercheurs en sécurité et menons des enquêtes dès que nous les recevons.
La société recommande fortement à ses utilisateurs de passer au firmware My Cloud OS5. « Si votre appareil n'est pas éligible pour la mise à niveau vers My Cloud OS 5, nous vous recommandons de passer à l'une de nos autres offres My Cloud prenant en charge My Cloud OS 5. Plus d'informations peuvent être trouvées ici."
Cependant, selon Domanski, les utilisateurs doivent être avertis que le système d'exploitation 5 est une réécriture complète du système d'exploitation de base de Western Digital, ce qui signifie que certaines des fonctionnalités et fonctionnalités les plus populaires intégrées à OS3 sont manquantes.
En réponse à plusieurs clients mécontents, Western Digital a fait la promesse de fournir des services de récupération de données. Selon Dan Goodin d'Ars Technica, "Les clients MyBook Live seront également éligibles à un programme d'échange afin qu'ils puissent passer à des appareils MyCloud." en plus, une porte-parole de Western Digital a également déclaré que le service de récupération de données serait gratuit.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: