Western Digital dit qu’il voulait ajouter du code pour empêcher My Book Live Hack, mais j’ai oublié
Numérique occidental
Vous n’allez pas le croire. Western Digital confirme maintenant qu’il a désactivé le code d’authentification qui aurait dû empêcher l’exploit de réinitialisation d’usine My Book Live de la semaine dernière. Pire encore, ce code a été désactivé en 2011 dans le but de le remplacer par quelque chose de mieux – Western Digital a tout simplement oublié de coller le nouveau code.
Revenons un peu en arrière. La semaine dernière, les utilisateurs de My Book Live ont découvert que leurs disques de stockage connectés à Internet avaient perdu toutes leurs données. Une réinitialisation d’usine, déclenchée à distance, a provoqué cette perte de données.
L’analyse par des experts en sécurité a depuis montré que les pirates exploitaient deux vulnérabilités distinctes de My Book Live en même temps ; un exploit (appelé CVE-2018-18472) a laissé les lecteurs ouverts à un contrôle à distance complet et a été utilisé pour créer un botnet, tandis qu’un autre exploit a permis aux pirates d’exécuter des réinitialisations d’usine à distance sans avoir besoin d’identifiants de connexion.
Ces experts en sécurité ont découvert que Western Digital avait intentionnellement désactivé le code d’authentification de réinitialisation d’usine, ce qui aurait obligé les pirates à saisir les informations de connexion pour chaque appareil My Book Live qu’ils tentaient de formater. Un nouveau message d’assistance de Western Digital confirme que ce code a été désactivé en 2011 dans le cadre d’un refactor, essentiellement une mise à niveau à grande échelle du code sous-jacent. Bien que ce refactoring ait été correctement effectué dans d’autres parties du système My Book Live, il n’a pas réussi à remplacer le code d’authentification de réinitialisation d’usine.
Nous avons déterminé que la vulnérabilité de réinitialisation d’usine non authentifiée a été introduite dans le My Book Live en avril 2011 dans le cadre d’une refonte de la logique d’authentification dans le micrologiciel de l’appareil. Le refactor a centralisé la logique d’authentification dans un seul fichier, qui est présent sur l’appareil sous le nom includes/component_config.php et contient le type d’authentification requis par chaque point de terminaison. Dans ce refactor, la logique d’authentification dans system_factory_restore.php a été correctement désactivée, mais le type d’authentification approprié ADMIN_AUTH_LAN_ALL n’a pas été ajouté à component_config.php, ce qui a entraîné la vulnérabilité. Le même refactor a supprimé la logique d’authentification des autres fichiers et a correctement ajouté le type d’authentification approprié au fichier component_config.php.
Western Digital poursuit en clarifiant quelques détails de cette attaque. Alors que les analystes de la sécurité suggèrent qu’un pirate a exploité la vulnérabilité de réinitialisation d’usine pour saboter le botnet croissant My Book Live (qui a été activé par l’exploit de "contrôle à distance" distinct CVE-2018-18472), Western Digital affirme que les deux attaques ont souvent été exécutées à partir d’un adresse IP unique. Cela suggère qu’un pirate a profité des deux vulnérabilités, pour une raison quelconque.
Tout au long de tout ce gâchis, de nombreuses personnes ont reproché aux utilisateurs de My Book Live de s’exposer aux attaques. Après tout, les appareils My Book Live n’ont pas été mis à jour depuis 2015, donc, bien sûr, ils ne sont pas sûrs! Mais en réalité, les disques My Book Live étaient vulnérables à la réinitialisation d’usine et aux exploits de "télécommande" CVE-2018-18472 bien avant que Western Digital ne mette fin au support logiciel.
Western Digital annonce qu’il offrira des services de récupération de données gratuits et un appareil My Cloud gratuit aux propriétaires de My Book Live à partir de juillet. Si vous utilisez toujours un appareil My Book Live, veuillez le débrancher et ne plus jamais l’utiliser.
Source: Western Digital