Western Digital a supprimé le code qui aurait empêché Global My Book Wiping

Numérique occidental

Un développeur de Western Digital a supprimé le code qui aurait empêché l’ effacement massif de la semaine dernière des disques de stockage My Book Live, selon un rapport d’ Ars Technica. Un pirate a exploité ce changement de code, susceptible de perturber un autre pirate qui avait transformé certains appareils My Book Live en botnet.

Les victimes de l’événement d’effacement mondial de la semaine dernière se sont plaintes que l’outil de réinitialisation d’usine de leurs appareils My Book Live devrait être protégé par un mot de passe. Évidemment, c’était autrefois le cas. Mais un développeur de Western Digital a modifié le script PHP system_factory_restore pour bloquer toutes les vérifications d’authentification. Pour être clair, ce développeur n’a pas supprimé les vérifications d’authentification, mais a simplement ajouté des barres obliques devant le code pour l’empêcher de s’exécuter.

function get($urlPath, $queryParams=null, $ouputFormat='xml'){ // if(!authenticateAsOwner($queryParams)) // { // header("HTTP/1.0 401 Unauthorized"); // return; // } 

Lors d’une conversation avec Ars Technica, l’expert en sécurité et PDG de Rumble HD Moore a déclaré que "le fournisseur commentant l’authentification dans le point de terminaison de restauration du système ne leur donne vraiment pas l’air bien… C’est comme s’ils avaient intentionnellement activé le contournement". plus accablant est le fait que ce pirate a déclenché des réinitialisations d’usine avec une requête XML, ce qui nécessiterait une connaissance préalable du système My Book Live ou une conjecture exceptionnellement bonne.

Mais ce n’est pas tout. La plupart des appareils touchés par l’exploit de réinitialisation d’usine avaient déjà été victimes d’une tentative de piratage. Un article de blog récent de Western Digital indique que les pirates ont utilisé CVE-2018-18472, un exploit vieux de trois ans, pour obtenir un accès administratif complet sur les lecteurs My Book Live. Cet exploit permet aux pirates d’exécuter des commandes de haut niveau sur les lecteurs et d’afficher ou de modifier des fichiers.

Fait intéressant, l’exploit CVE-2018-18472 était protégé par un mot de passe par un pirate informatique. Western Digital dit qu’il a été utilisé pour diffuser. nttpd,1-ppc-be-t1-z, un malware PowerPC qui transforme les appareils en un botnet Linux.Ngioweb, essentiellement un service proxy rotatif qui peut masquer l’identité des cybercriminels ou tirer parti des attaques DDoS.

Western Digital dit qu’il ne sait pas pourquoi les pirates exploiteraient les vulnérabilités CVE-2018-18472 et de réinitialisation d’usine dos à dos. Cela semble certainement contre-intuitif; pourquoi créeriez-vous discrètement un botnet juste pour créer un énorme scandale et pousser les utilisateurs de My Book Live à acheter un nouveau périphérique NAS ?

La conclusion de Censys et Ars Technica semble la plus plausible: un pirate a exécuté l’exploit de réinitialisation d’usine pour saboter le botnet en pleine croissance. Peut-être que les pirates sont des rivaux, même si tout cela aurait pu être une coïncidence. Qui sait, peut-être que quelqu’un dans un chat ou un forum Discord a annoncé que les appareils My Book Live n’avaient pas été mis à jour depuis 2015, ce qui a conduit deux pirates à lancer des attaques indépendantes dans le même laps de temps.

Si vous êtes un utilisateur de My Book Live, veuillez déconnecter votre disque d’Internet et ne plus jamais l’utiliser comme périphérique de stockage à distance. Les nouveaux appareils NAS, y compris ceux de Western Digital, ont des fonctionnalités de sécurité qui sont en fait à jour.

Source: Ars Technica