Les WD My Book Live (Duo) encore plus passoires que prévu... |
• 02 Juillet 2021 à 08h10 • 14635 vues
Au grand dam des vieux WD My Book Live et de leurs utilisateurs, la tombe d'une des premières générations de solutions type « NAS » de Western Digital continue à se creuser en profondeur. En réalité, il s'avère désormais que l'événement de la semaine dernière était la conséquence de l'exploitation de deux failles au lieu de la seule vulnérabilité découverte en 2018 (autorisant un retour aux paramètres d'usine sans avoir besoin du mot de passe pour s'identifier), et fut potentiellement aussi le résultat d'une compétition entre deux équipes concurrentes de pirates selon certaines spéculations.
Ainsi, un autre exploit inconnu jusqu'ici a également été utilisé, permettant cette fois-ci d'obtenir des privilèges root et d'installer un fichier binaire malicieux — en l'occurrence, un fichier binaire Linux ELF nommé « .nttpd,1-ppc-be-t1-z » et compilé spécifiquement pour l'architecture PowerPC des My Book Live (Duo) ! WD a capturé un exemplaire du cheval de Troie et l'a soumis à VirusTotal.
WD suppute que cette vulnérabilité aurait été introduite en avril 2011, après une refonte de la logique d'authentification du firmware des WD Book Live, ayant centralisé celle-ci dans un fichier unique, et dont une partie du code avait été mal entré et commenté par les techniciens de l'entreprise elle-même, l'empêchant ainsi de fonctionner (les plus complotistes penseront peut-être que c'était délibéré...). Attention, les appareils connectés à internet et dont l'accès à distance est activé sont cette fois-ci parfaitement vulnérables à une injection de commande arbitraire directement depuis internet.
via @arstechnica, a WD programmer literally commented out the code that would have prevented the MyBook Live attack from happening in the very first place ???? pic.twitter.com/GewmtiNCDs
— dangered wolf (@dangeredwolf) June 29, 2021
Bref, aucun WD My Book Live (Duo) n'ayant été mis à jour depuis des années, il faut considérer l'appareil comme une passoire et le couper d'internet. Heureusement, Western Digital ne va pas cette fois-ci laisser les utilisateurs désemparés sur le bord de la route. Dans le cadre d'une initiative louable, le constructeur offrira un service de récupération des données à partir de juillet, ainsi qu'un programme pour l'échange des vieux My Book Live pour les plus récents My Cloud à ceux qui veulent toujours d'une expérience de stockage avec un produit connecté de chez WD... Cela étant dit, les My Cloud aussi avaient déjà souffert de plusieurs vulnérabilités, et WD avait même été capable de les corriger et d'en ajouter d'autres dans la foulée. Oui, ça inspire confiance... Dans tous les cas, il vous faut contacter directement le support de Western Digital si vous êtes concernés.
 | Un poil avant ?Texas Instrument rachète une usine de Micron pour du 300 mm | Un peu plus tard ...MSI enrichit son offre ARTYMIS, avec des 32" et 27" fortement incurvés | |
