Certains des périphériques de stockage de données basés sur MyCloud de Western Digital. Image : WD.
Innombrable Numérique occidental les clients ont vu leur MyBook en direct Les disques de stockage réseau ont été effacés à distance au cours du mois dernier grâce à un bogue dans une gamme de produits que la société a cessé de prendre en charge en 2015, ainsi qu’à une faille zero-day jusque-là inconnue. Mais il existe une faille zero-day tout aussi grave présente dans une gamme beaucoup plus large de nouveaux Western Digital MyCloud périphériques de stockage réseau qui resteront non réparés pour de nombreux clients qui ne peuvent pas ou ne veulent pas effectuer la mise à niveau vers le dernier système d’exploitation.
Le problème est une faille d’exécution de code à distance résidant dans tous les périphériques de stockage en réseau (NAS) de Western Digital exécutant MyCloud OS 3un système d’exploitation que la société a récemment cessé de prendre en charge.
Des chercheurs Radek Domanski et Pedro Ribeiro initialement prévu de présenter leurs conclusions à la Concours de piratage Pwn2Own à Tokyo l’année dernière. Mais quelques jours avant l’événement, Western Digital a publié MyCloud OS 5, ce qui a éliminé le bogue qu’ils ont trouvé. Cette mise à jour a effectivement annulé leurs chances de concurrencer Pwn2Own, ce qui nécessite que les exploits fonctionnent avec le dernier micrologiciel ou logiciel pris en charge par l’appareil ciblé.
Néanmoins, en février 2021, le duo publie cette vidéo YouTube détailléequi documente comment ils ont découvert une chaîne de faiblesses qui permet à un attaquant de mettre à jour à distance le micrologiciel d’un appareil vulnérable avec une porte dérobée malveillante – en utilisant un compte d’utilisateur à faibles privilèges qui a un mot de passe vide.
Les chercheurs ont déclaré que Western Digital n’avait jamais répondu à leurs rapports. Dans une déclaration fournie à BreachTrace, Western Digital a déclaré avoir reçu son rapport après Pwn2Own Tokyo 2020, mais qu’à l’époque, la vulnérabilité signalée avait déjà été corrigée par la sortie de My Cloud OS 5.
« La communication qui nous est parvenue a confirmé que l’équipe de recherche impliquée prévoyait de divulguer les détails de la vulnérabilité et nous a demandé de les contacter pour toute question », a déclaré Western Digital. « Nous n’avions pas de questions, nous n’avons donc pas répondu. Depuis lors, nous avons mis à jour notre processus et répondu à chaque signalement afin d’éviter à nouveau toute mauvaise communication comme celle-ci. Nous prenons très au sérieux les rapports de la communauté des chercheurs en sécurité et menons des enquêtes dès que nous les recevons. »
Western Digital a ignoré les questions de savoir si la faille découverte par Domanski et Ribeiro avait déjà été corrigée dans OS 3. Une déclaration publiée sur son site d’assistance le 12 mars 2021 indique que la société ne fournit plus de mises à jour de sécurité supplémentaires pour le micrologiciel MyCloud OS 3.
« Nous encourageons fortement le passage au micrologiciel My Cloud OS5 », indique le communiqué. « Si votre appareil n’est pas éligible pour la mise à niveau vers My Cloud OS 5, nous vous recommandons de mettre à niveau vers l’une de nos autres offres My Cloud prenant en charge My Cloud OS 5. Plus d’informations peuvent être trouvées ici.” Une liste des appareils MyCloud pouvant prendre en charge OS 5 est ici.
Mais selon Domanski, OS 5 est une réécriture complète du système d’exploitation principal de Western Digital et, par conséquent, certaines des fonctionnalités et fonctionnalités les plus populaires intégrées à OS3 sont manquantes.
« Cela a cassé beaucoup de fonctionnalités », a déclaré Domanski à propos d’OS 5. « Ainsi, certains utilisateurs pourraient ne pas décider de migrer vers OS 5. »
Conscients de cela, les chercheurs ont développé et publié son propre patch qui corrige les vulnérabilités trouvées dans OS 3 (le correctif doit être réappliqué à chaque redémarrage de l’appareil). Western Digital a déclaré avoir connaissance de tiers proposant des correctifs de sécurité pour My Cloud OS 3.
« Nous n’avons évalué aucun de ces correctifs et nous ne sommes pas en mesure de fournir une assistance pour ces correctifs », a déclaré la société.
Un extrait de la vidéo montrant les chercheurs téléchargeant leur firmware malveillant via une faille zero-day à distance dans MyCloud OS 3.
Domanski a déclaré que les utilisateurs de MyCloud sur OS 3 peuvent pratiquement éliminer la menace de cette attaque en s’assurant simplement que les appareils ne sont pas configurés pour être accessibles à distance sur Internet. Les appareils MyCloud permettent aux clients d’accéder très facilement à leurs données à distance, mais cela les expose également à des attaques comme celles du mois dernier qui ont conduit à l’effacement massif des appareils MyBook Live.
« Heureusement pour de nombreux utilisateurs, ils n’exposent pas l’interface à Internet », a-t-il déclaré. « Mais en regardant le nombre de messages sur la page d’assistance de Western Digital liés à OS3, je peux supposer que la base d’utilisateurs est encore considérable. On a presque l’impression que Western Digital a sauté sans préavis sur OS5, laissant tous les utilisateurs sans support.
Dan Goodin à Ars Technica a une plongée profonde fascinante sur l’autre faille zero-day qui a conduit à l’attaque massive le mois dernier sur les appareils MyBook Live que Western Digital a cessé de prendre en charge en 2015. En réponse au rapport de Goodin, Western Digital a reconnu que la faille avait été activée par un développeur Western Digital qui avait supprimé le code qui avait besoin d’un mot de passe utilisateur valide avant d’autoriser la poursuite des réinitialisations d’usine.
Face à une réaction de clients en colère, Western Digital a également promis pour fournir des services de récupération de données aux clients concernés à partir de ce mois-ci. « Les clients MyBook Live seront également éligibles à un programme d’échange afin qu’ils puissent passer aux appareils MyCloud », a écrit Goodin. « Une porte-parole a déclaré que le service de récupération de données sera gratuit. »
Si les attaquants parviennent à exploiter ce bogue d’OS 3, Western Digital pourrait bientôt payer des services de récupération de données et des échanges pour beaucoup plus de clients.