Une backdoor grande ouverte chez Western Digital toujours pas corrigée après 6 mois ! (MAJ)

MAJ 09/01/2018 : d'après un article publié le 31 décembre sur le blog de WD, les failles rapportées par Gulftech et James Bercegay auraient en réalité été corrigées avec la sortie du firmware v2.30.172, disponible à l'ensemble des produits affectés depuis le 16 novembre (soit tout de même 6 mois après le partage des trouvailles avec WD). Assurez-vous donc de bien mettre à jour votre appareil si vous êtes l'heureux possesseur d'un des engins sur la liste ci-dessous.

Le mot d'ordre de ce début 2018 : sécurité ! Aujourd'hui sont concernés tout leisés par Western Digital avec une porte dérobée codée en dur au sein de l'OS. La faille ne serait pas bien compliquée à s'exploiter, puisqu'il suffit à n’importe qui de s'identifier avec "mydlinkBRionyg" comme nom utilisateur et d'entrer "abc12345cba" en mot de passe pour s'offrir un accès sans aucune restrictions aux racines du système. Cette faiblesse est également exploitable sur un réseau local sans action nécessaire de la part d'un utilisateur mal intentionné, notamment grâce à l'utilisation d'images HTML ou de tags iFrame crées spécialement pour l'occasion, un site malicieux saura ainsi envoyer des requêtes d’accès à l'intention de l'appareil sur le réseau local en utilisant des noms d’hôtes prévisibles.

La vulnérabilité est pourtant connue depuis mi-2017, découverte par James Bercegay en collaboration avec GulfTech Research and Development, et avait été publiée et  partagée le 12 juin avec Western Digital. Hélas, au jour d'aujourd'hui, aucun patch ou de solution pour colmater cette vilaine brèche n'ont été fournis par Western Digital ! En conséquence, James Bercegay a désormais dévoilé l'ensemble des détails autour de la vulnérabilité, ainsi que l'exploit proof-of-concept. Un module Metasploit a par ailleurs été publié, signifiant que le code pour l'exploitation de la faille est désormais accessible à tout le monde !

Ce silence de la part de WD est inacceptable et pas franchement flatteur pour leurs produits, mais avec cette publication l'entreprise est désormais sous pression et  n'a d'autre choix que de réagir immédiatement si elle ne veut avoir à faire face à des problèmes potentiellement bien plus sérieux (et couteux). Pour savoir si vous êtes concernés, voici la liste des produits affectés : My Cloud Gen 2, My Cloud EX2, EX2 Ultra, My Cloud PR2100 / 4100, My Cloud EX4, EX2100, EX4100, My Cloud DL2100 et DL4100. Il va de soi que la prudence est de mise en attendant le patch nécessaire à la fermeture de ce trou gênant, et il est fortement recommandable de limiter l’utilisation et l’accès à internet des appareils ci-dessus. Une épine de plus dans les pieds des produits MyCloud, vu que ce n'est pas la première fois et WD peine malgré tout toujours et encore à réagir rapidement... (Source : Techspot)