Effacement des disques Western Digital My Book Live : une seconde faille découverte

30 juin 2021 à 12h00
4
Western Digital My Book Live © Western Digital
© Western Digital

Une seconde vulnérabilité dans les My Book Live a été découverte, ce qui explique les suppressions de données dont ont été victimes des clients.

Découverte dans une analyse réalisée par Ars Technica et Censys, cette vulnérabilité permet de réaliser une restauration à l'état d'usine sans avoir besoin d'un mot de passe.

Une faille zero-day présente depuis 2011

Il y a quelques jours, plusieurs utilisateurs rapportaient que les données de leur My Book Live de Western Digital avaient tout simplement disparu. L'entreprise avait conclu que les hackers avaient utilisé la vulnérabilité CVE-2018-18472. Découverte en 2018 par deux chercheurs, elle permet à n'importe qui connaissant l'adresse IP de l'appareil d'obtenir un accès root sur celui-ci. Western Digital ayant arrêté de supporter les My Book Live en 2015, cette faille n'avait jamais été patchée.

Cependant, cela n'explique pas vraiment pourquoi les utilisateurs ont perdu leurs données. La faille semble surtout avoir été exploitée pour installer plusieurs fichiers malveillants, obligeant l'appareil à rejoindre le botnet Linux.Ngioweb. Après des recherches supplémentaires, il semblerait qu'une deuxième faille soit à l'origine de la suppression des données, comme rapporté par Ars Technica. Désormais nommée CVE-2021-35941, elle ne donne pas le contrôle de l'appareil, mais elle permet de le restaurer à l'état d'usine sans avoir besoin d'un mot de passe.

Plus surprenant, du code avait bien été écrit pour éviter cette faille, demandant une authentification avant de pouvoir réaliser une restauration. Cependant, il a été commenté par un développeur. D'après Western Digital, c'est arrivé en avril 2011 lors de la refactorisation de leur code se chargeant de l'authentification. Toute la logique d'authentification avait été rassemblée dans un seul fichier qui déterminait quel type d'authentification était nécessaire pour chaque endpoint. Si le « vieux » code a bien été commenté, on avait oublié d'ajouter le nouveau type d'authentification pour la restauration à l'état d'usine dans le nouveau fichier.

Pas de patch, mais des services de récupération de données offerts par Western Digital

Des questions demeurent quant au fait que les deux failles aient été exploitées en même temps. Derek Abdine de Censys a émis l'hypothèse d'une rivalité entre deux hackers, l'un utilisant la première vulnérabilité pour son botnet et l'autre, un rival, décidant d'exploiter la zero-day pour supprimer toutes les données des My Book Live pour le saboter ou prendre le contrôle des appareils à sa place. Cependant, Western Digital a indiqué avoir vu des instances où les deux vulnérabilités avaient été utilisées par les mêmes personnes.

L'entreprise a annoncé mettre en place gratuitement des services de récupération des données pour les clients affectés ainsi qu'un programme d'échange pour remplacer les My Book Live par des appareils My Cloud à jour. Ces services seront disponibles en juillet, et en attendant, il est toujours conseillé de garder son appareil déconnecté.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
5
Voir tous les messages sur le forum

Lectures liées

Google Agenda sera bientôt directement intégré à Chrome OS
3dfx précise son retour, mais n'annonce rien d'exaltant
En préparation à Windows 11, Asus met à jour le firmware de ses cartes mères
Asus prépare une GeForce RTX 3070 refroidie par Noctua
Rachat d'ARM par NVIDIA : le Royaume-Uni pourrait mettre un frein à la procédure
Apple introduit de nouveaux GPU pour ses Mac Pro avec la série Radeon Pro W6000
Intel : Arrow, Lunar et Nova Lake viendront succéder à Meteor Lake
3dfx : 20 ans après... une vraie annonce à venir le 5 août ?
Deux Mac inconnus listés en Russie par l'EEC : et s'il s'agissait des MacBook Pro M1X ?
Acheter un GPU ayant été utilisé pour miner est une mauvaise idée... du moins selon Palit
Haut de page