Bien que cela ne rassure pas ceux qui ont annulé leurs unités la semaine dernière Western Digital MyBook Live NAS, il apparaît que l’attaque a été menée par plusieurs groupes de hackers qui ont exploité deux exploits distincts. Initialement, après les nouvelles de vendredi, on pensait que la faute était à un exploit connu de 2018 qui a permis aux attaquants d’obtenir un accès root aux appareils. Cependant, il semble maintenant qu’un exploit auparavant inconnu a également été activé, ce qui permet aux pirates de effectuer à distance une réinitialisation d’usine sans mot de passe et installer un fichier binaire malveillant.
Une déclaration récemment mise à jour de Western Digital se lit comme suit : « Les appareils My Book Live et My Book Live Duo sont attaqués en exploitant plusieurs vulnérabilités de l’appareil. […] Le micrologiciel My Book Live est vulnérable à l’injection de commandes exploitables à distance lorsque l’accès à distance est activé sur l’appareil. Ce dernier peut être utilisé pour exécuter des commandes arbitraires avec les privilèges root. De plus, le My Book Live est vulnérable à un autre exploit qui permet à un attaquant de restaurer les paramètres par défaut de l’appareil sans authentification. La vulnérabilité de la réinitialisation d’usine sans authentification [è stata] dénommé CVE-2021-35941. «
L’analyse du firmware suggère que le code destiné à empêcher le problème n’est présent que sous forme de commentaire, l’empêchant de s’exécuter, et le type d’authentification n’a pas été ajouté à component_config.php, ce qui permet aux unités de ne pas exiger d’authentification avant d’effectuer une usine réinitialisation des données.
La question se pose alors de savoir pourquoi un hacker utiliserait deux exploits différents, notamment le contournement d’authentification non documenté, alors qu’il avait déjà un accès root en exploitant une autre vulnérabilité. Des collègues d’Ars Technica ont émis l’hypothèse que cela pourrait être le résultat de l’interaction de plusieurs groupes de pirates informatiques, qui ont tenté de prendre le contrôle ou de saboter le botnet de l’autre.
Western Digital a répondu de manière admirable, offrant des services de récupération de données à partir de juillet et un programme d’échange pour remplacer les disques MyBook Live obsolètes par des appareils MyCloud plus modernes. Si vous possédez l’un des appareils concernés, nous vous conseillons de ne pas le connecter à Internet et de contacter directement Western Digital pour obtenir de l’aide.
Le WD Black SN850 est également en vente sur Amazon à prix réduit !
