Faille des WD MyBook Live : un service de récupération de données sera proposé

Western Digital a récemment confirmé que les disques durs MyBook Live et MyBook Live Duo souffraient d’une faille de sécurité. Certains utilisateurs ont même perdu l’ensemble des données stockées sur le disque dur suite à l’exploitation de cette faille par des personnes malveillantes.

Depuis, le fabricant a continué ses investigations et tente de proposer une solution. En effet, dans un long message publié sur son site, Western Digital revient sur toute la situation. (message à retrouver ci-dessous en français)

Le constructeur va fournir un service de récupération de données aux clients qui ont perdu des données durant cette affaire. Par ailleurs,  Western Digital va proposer un échange de matériel aux possesseurs de MyBook Live afin qu’ils migrent vers un appareil de la gamme My Cloud.

Reste à savoir si ce service de récupération de données sera gratuit (ou non) et quel sera le montant à débourser pour les clients qui voudront passer d’un WD MyBook Live à un WD My Cloud. Nous serons certainement fixé prochainement puisque le fabricant annonce que ces deux solutions seront accessibles au cours du mois de juillet.

Communiqué de Western Digital :

Western Digital a déterminé que les appareils My Book Live et My Book Live Duo connectés à Internet sont attaqués par l’exploitation de plusieurs vulnérabilités présentes dans l’appareil. Dans certains cas, les attaquants ont déclenché une réinitialisation d’usine qui semble effacer toutes les données de l’appareil.

Programmes de récupération de données et d’échange de produits
Pour aider les clients qui ont perdu des données à la suite de ces attaques, Western Digital fournira des services de récupération de données, qui seront disponibles à partir de juillet. Les clients My Book Live se verront également proposer un programme d’échange pour passer à un appareil My Cloud pris en charge.

Analyse de la vulnérabilité nouvellement identifiée CVE-2021-35941
Le micrologiciel My Book Live est vulnérable à une vulnérabilité d’injection de commande exploitable à distance lorsque l’accès à distance est activé sur l’appareil. Cette vulnérabilité peut être exploitée pour exécuter des commandes arbitraires avec les privilèges root. De plus, le My Book Live est vulnérable à une opération de réinitialisation d’usine non authentifiée qui permet à un attaquant de réinitialiser l’appareil aux paramètres d’usine sans authentification. La vulnérabilité de réinitialisation d’usine non authentifiée a été assignée CVE-2021-35941.

Nous avons entendu des préoccupations concernant la nature de cette vulnérabilité et partageons des détails techniques pour répondre à ces questions. Nous avons déterminé que la vulnérabilité de réinitialisation d’usine non authentifiée a été introduite dans le My Book Live en avril 2011 dans le cadre d’un refactoring de la logique d’authentification dans le micrologiciel de l’appareil. Le refactor a centralisé la logique d’authentification dans un fichier unique, qui est présent sur l’appareil au fur includes/component_config.phpet à mesure et contient le type d’authentification requis par chaque point de terminaison. Dans ce refactoring, la logique d’authentification dans a system_factory_restore.phpété correctement désactivée, mais le type d’authentification approprié de ADMIN_AUTH_LAN_ALLn’a pas été ajouté à component_config.php, ce qui a entraîné la vulnérabilité. Le même refactor a supprimé la logique d’authentification des autres fichiers et a correctement ajouté le type d’authentification approprié aucomponent_config.php déposer.

Analyse de l’attaque
Nous avons examiné les fichiers journaux que nous avons reçus des clients concernés pour comprendre et caractériser l’attaque. Les fichiers journaux que nous avons examinés montrent que les attaquants se sont directement connectés aux appareils My Book Live concernés à partir d’une variété d’adresses IP dans différents pays. Notre enquête montre que dans certains cas, le même attaquant a exploité les deux vulnérabilités sur l’appareil, comme en témoigne l’IP source. La première vulnérabilité a été exploitée pour installer un binaire malveillant sur l’appareil, et la seconde vulnérabilité a ensuite été exploitée pour réinitialiser l’appareil.

Sur certains appareils, les attaquants ont installé un cheval de Troie avec un fichier nommé .nttpd,1-ppc-be-t1-z, qui est un binaire Linux ELF compilé pour l’architecture PowerPC utilisée par le My Book Live et Live Duo. Un échantillon de ce cheval de Troie a été capturé pour une analyse plus approfondie et il a été téléchargé sur VirusTotal .

Notre enquête sur cet incident n’a révélé aucune preuve que les services cloud Western Digital, les serveurs de mise à jour du micrologiciel ou les informations d’identification des clients aient été compromis. Étant donné que les appareils My Book Live peuvent être directement exposés à Internet via la redirection de port, les attaquants peuvent être en mesure de découvrir les appareils vulnérables grâce à l’analyse des ports. Les vulnérabilités exploitées dans cette attaque sont limitées à la série My Book Live, qui a été lancée sur le marché en 2010 et a reçu une dernière mise à jour du firmware en 2015. Ces vulnérabilités n’affectent pas notre famille de produits My Cloud actuelle.

Résumé consultatif
Déconnectez immédiatement votre My Book Live et My Book Live Duo d’Internet pour protéger vos données des attaques en cours.

Pour les clients qui ont perdu des données à la suite de ces attaques, Western Digital fournira des services de récupération de données. Les utilisateurs de My Book Live se verront également proposer un programme d’échange pour passer à un appareil My Cloud pris en charge. Les deux programmes seront disponibles à partir de juillet, et les détails sur la façon de profiter de ces programmes seront disponibles dans une annonce distincte.