Perte de données massive de WD My Book Live en raison du bug zero-day.
Dans l’informatique moderne, rares sont les choses qui font plus peur aux gens que l’idée de perdre des années de données en un clin d’œil.
Malheureusement, ce cauchemar est devenu une réalité pour des milliers de propriétaires du système de stockage My Book Live de Western Digital, qui ont été victimes d’un incident la semaine dernière. Des années de fichiers, de photos, de vidéos et de tout le reste ont été effacées à distance à cause de quelques acteurs malveillants qui pouvaient rivaliser.
Le pire, c’est que Western Digital lui-même a peut-être contribué à activer l’une des deux vulnérabilités qui ont rendu possible cet effacement massif à distance.
En effet, Western Digital a immédiatement rejeté les spéculations selon lesquelles ses serveurs auraient été compromis, ce qui aurait conduit au reformatage à distance de nombreux NAS My Book Live dans le monde entier la semaine dernière.
La société a plutôt déclaré que des acteurs malveillants exploitant des vulnérabilités du système d’exploitation en étaient la cause. Après des recherches, elle a découvert une faille de sécurité de 2018 qui permettait aux attaquants d’exécuter des commandes à distance avec des privilèges élevés sur des appareils spécifiques.
Comme CVE-2018-18472 a été signalée en 2018, Western Digital n’était pas exactement obligé d’appliquer des correctifs pour des produits qui n’étaient plus pris en charge depuis 2015.
Il se trouve cependant qu’une autre vulnérabilité a également pu être utilisée pour réinitialiser à distance des appareils à leur état d’usine. À la différence du premier exploit, cette vulnérabilité serait présente depuis le jour même du lancement de My Book Live en 2011 et pourrait même être de la faute de Western Digital.
D’après le rapport d’Ars Technica, My Book Live était censé nécessiter un mot de passe utilisateur lors d’une tentative de restauration d’usine à distance. Pour une raison inconnue, cependant, le code qui accompagnait les périphériques NAS avait désactivé cette vérification. En d’autres termes, un pirate avisé n’aurait eu aucun mal à effectuer ce nettoyage, en raison d’un mystérieux changement de code de la part de WD.
Le côté mystérieux de ces deux vulnérabilités est que ce dernier exploit zero-day était inutile puisque la vulnérabilité de 2018 donnait déjà à un attaquant un accès root pour effectuer des effacements.
Actuellement, la théorie commune est que l’exploit CVE-2018-18472 a été utilisé par un pirate pour transformer les appareils compromis en un botnet tandis que la deuxième vulnérabilité, plus vieille, a été utilisée par un pirate rival pour prendre le contrôle du réseau ou simplement le saboter.
Dans un cas comme dans l’autre, le bilan est le même, des centaines, voire des milliers d’utilisateurs se retrouvent assommés par la perte de leurs données.