COMPTOIR
register

Composé par ————— —— 15443 vues

NAS My Cloud de WD : vulnérabilité web détectée

Décidément, le service My Cloud de Western Digital n'a pas fini de faire parler de lui niveau sécurité. Après la détection d'une backdoor durant 2017 qui a mis plus de 6 mois à être réparée - pour rappel, une simple combinaison standard permettait d'avoir un accès total aux machines même par action distante -, des chercheurs en sécurité de Securify ont découvert une nouvelle vulnérabilité - répondant au doux nom de CVE-2018-17153 - au système de Western Digital.

 

En effet, il est possible de s'octroyer les droits d'administration du serveur à distance. Selon Securfy, "le module CGI network_mkr.cgi contient une commande cgi_get_ipv6 qui démarre une session administrateur lié à l'adresse IP du hacker si le flag du paramètre est à 1. Plusieurs commandes qui sont donc réservée aux utilisateur avec droit d'administration sont débloquées si le hacker envoie le cookie username=admin."

 

Pour faire plus court et simple, en ajoutant un cookie username=admin à une requête HTTP CGI on peut se connecter en tant qu'administrateur sur le serveur. Le tout via un réseau local ou internet, ce qui rend visibles et modifiables les données de votre petit NAS. Il faudra penser à cacher votre collection de porno BDSM documentaires animaliers si précieuse à vos yeux. Le plus gênant dans cette histoire, c'est de savoir que la vulnérabilité existe depuis près de 6 mois, que WD a été prévenu mais se garde les doigts bien au chaud dans une partie du corps que nous ne citerons pas. (Source)

 

wd mycloud ducobu profanation cdh

Vous me copierez 100 fois "Je n'ouvre pas ma porte arrière aux intrus" élève WD !

Un poil avant ?

Enfin, un 9900K repéré en compagnie du Z390 chez GeekBench

Un peu plus tard ...

Les i9000K juste après la mi-octobre ?

Les 5 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Jemporte, le Dimanche 23 Septembre 2018 à 16h20  
par Un ragoteur de transit en Nouvelle-Aquitaine le Samedi 22 Septembre 2018 à 09h35
Perso je préfère me faire un serveur fait maison, c'est plus cher et ça consomme plus (quoi que étant donné que j'utilise mes services via la virtualisation et que le serveur fait plus que juste stocker des données la conso supplémentaire deviens justifiée) mais au moins je suis sûr de la qualité de chaque pièces, si une pièce pète je peux réparer et en plus étant donné que c'est moi qui fait tout je sais qu'il n'y a pas de backdoor de derrière les fagots.
Premièrement, c'est moins cher si on utilise du matériel obsolète, tout à fait adapté et généralement moins consommateur de courant (à quelques exception près comme les PIV).
Deuxièmement : on peut utiliser n'importe quel OS (même XP ou Windows 2000 pro) et bien verrouiller avec un parefeu hardware (routeru) et une parefeu software sur la machine. Les machins constructeur genre WD sont surtout des prêts à l'emploi, pour Mr tt le monde.
par Splint3r-b3n, le Samedi 22 Septembre 2018 à 12h10  
par Un ragoteur de transit en Nouvelle-Aquitaine le Samedi 22 Septembre 2018 à 09h35
Perso je préfère me faire un serveur fait maison, c'est plus cher et ça consomme plus (quoi que étant donné que j'utilise mes services via la virtualisation et que le serveur fait plus que juste stocker des données la conso supplémentaire deviens justifiée) mais au moins je suis sûr de la qualité de chaque pièces, si une pièce pète je peux réparer et en plus étant donné que c'est moi qui fait tout je sais qu'il n'y a pas de backdoor de derrière les fagots.
Oui c'est sur dans l'idéal, mais on a pas tous le temps ou l'envie de passer à tout parametrer, puis bon les backdoor ça existe dans tous les OS, c'est la base de l'informatique, tout est vulnérable.
par Un ragoteur de transit en Nouvelle-Aquitaine, le Samedi 22 Septembre 2018 à 09h35  
par Splint3r-b3n le Samedi 22 Septembre 2018 à 08h24
Synology ou rien
Perso je préfère me faire un serveur fait maison, c'est plus cher et ça consomme plus (quoi que étant donné que j'utilise mes services via la virtualisation et que le serveur fait plus que juste stocker des données la conso supplémentaire deviens justifiée) mais au moins je suis sûr de la qualité de chaque pièces, si une pièce pète je peux réparer et en plus étant donné que c'est moi qui fait tout je sais qu'il n'y a pas de backdoor de derrière les fagots.
par Splint3r-b3n, le Samedi 22 Septembre 2018 à 08h24  
Synology ou rien
par Un ragoteur parano en Île-de-France, le Samedi 22 Septembre 2018 à 07h59  
Je n'ai strictement aucune confiance dans aucun des "nuages", WD ou autres, et ne confirais jamais mes données à une tierce partie; les promesses de confidentialité et de sécurité sont du vent, voire des mensonges éhontés. Combien de ces "nuages" sont en réalité directement connectés à la NSA, au GCHQ, ou autre agence de renseignement ?... Probablement tous !

Pour vos données, il suffit de faire tourner votre propre NAS (de préférence à base de PC sous Linux car les solutions commerciales sont tout aussi vulnérables et suspectes de collaboration avec les agences de renseignement) et/ou de gérer correctement vos sauvegardes.