Alerte de sécurité pour WD MyCloud : les périphériques ne sont pas sûrs, voici les alternatives
12/1/2018
Traduction: traduction automatique
Les solutions de stockage simples pour les particuliers de Western Digital ne sont pas sûres. N'importe qui peut accéder à vos données par une simple astuce. Cette affaire montre à quel point les pirates et les entreprises peuvent collaborer.
Western Digital, ou WD, fabrique entre autres des disques durs et des solutions de stockage qui doivent offrir sécurité et confort aux utilisateurs à domicile. Le fabricant est ainsi en conflit permanent avec le milieu de la sécurité de l'information, car des voix fortes de ce milieu sont convaincues que la sécurité et le confort ne sont pas compatibles. Quiconque réfléchit deux secondes à cet argument comprendra qu'il s'agit d'une absurdité complètement défaitiste, mais quand même. Le bruit, c'est le bruit.
Quoi qu'il en soit, James Bercegay, de GulfTech Research and Development, a examiné de près le code des MyClouds de WD. Il a trouvé de graves failles de sécurité. Ceci n'est toutefois pas nouveau. En effet, James avait déjà découvert cette faille en octobre de l'année dernière. Dans son avis, il décrit dans la chronologie comment s'est déroulée la dite divulgation.
Mais avant tout, si vous possédez ou souhaitez acheter l'un des appareils suivants, vous êtes en danger.
Comment les pirates coopèrent avec les entreprises
Le 6 octobre 2017, James a découvert les failles. Il les a immédiatement signalées au fabricant. "Contacté le fabricant via le formulaire de contact sur le site web", écrit le chercheur en sécurité de l'information. Deux jours plus tard, il a reçu une réponse lui demandant de communiquer ses découvertes à l'équipe de réponse aux incidents de sécurité des produits (PSIRT). Ce qu'il a fait immédiatement . Le PSIRT de WD a ensuite vérifié et confirmé les failles indépendamment des découvertes du pirate. Samuel Brown de WD a contacté James un jour plus tard, le 13 octobre. Samuel a confirmé que les failles étaient réelles. Trois jours plus tard, le fabricant contacte à nouveau James.
Western Digital et James Bercegay se mettent d'accord sur le modèle de Responsible Disclosure. Cela signifie qu'InfoSec et le fabricant se mettent d'accord sur un délai. Pendant ce délai, le pirate reste muet et le fabricant tente de corriger les vulnérabilités par voie logicielle.
A partir du 16 octobre, Western Digital dispose donc de 90 jours pour que James rende publiques ses trouvailles. Mais le 15 décembre, le hacker Zenofex de Exploitee.rs rend les mêmes conclusions publiques. Il n'est pas au courant de la date limite et, selon tous les rapports, ne se manifeste pas non plus auprès de Western Digital. Il choisit la voie de la Full Disclosure. Il publie toutes les données des vulnérabilités et de l'exploit en ligne. On ne peut que spéculer sur les raisons. La divulgation complète est utilisée lorsque les chercheurs en sécurité de l'information veulent faire pression sur un fabricant. En effet, si le fabricant ne veut pas corriger une vulnérabilité, il peut garder les failles secrètes tant que personne ne dit rien publiquement.
Après 79 jours, James Bercegay rend ses trouvailles publiques, probablement parce que Western Digital a publié une mise à jour logicielle qui corrige les failles. On ne sait pas si James a reçu un bug bounty, c'est-à-dire de l'argent pour avoir découvert la faille.
Les vulnérabilités en détail
Les trouvailles de James ont cependant de quoi surprendre. En effet, ils ne dressent pas un portrait particulièrement positif du logiciel version 2.30.165 ou antérieure. Il a relevé les bugs suivants .
- Pre Auth Remote Root Code Execution : un hacker peut exécuter du code avec des droits d'administrateur sur l'appareil avant même d'avoir dû se connecter avec un nom d'utilisateur et un mot de passe .- Hardcoded Admin Credentials : le code du logiciel WD contient un mot de passe administrateur fixe que l'utilisateur ne peut pas modifier. Le mot de passe est disponible en texte clair.
Pre Auth Remote Code Execution n'est pas seulement une vulnérabilité, mais l'enchaînement de plusieurs failles, d'éléments de code et de manipulation de requêtes. La combinaison de toutes ces actions permet à un utilisateur d'exécuter des commandes sur les WD MyClouds sans pouvoir se connecter à l'appareil.
Le terme Pre Auth Remote Code Execution est également un enchaînement de descripteurs.
- Pre Auth : pré-authentification, c'est-à-dire avant l'authentification .- Remote : à partir d'un emplacement externe .- Code Execution : tout code peut être exécuté .
Cela signifie donc qu'un attaquant peut exécuter des instructions de programme arbitraires à partir de n'importe quel endroit, sans connaître le nom d'utilisateur et le mot de passe. Tout bien considéré, c'est quelque chose que vous ne voulez certainement pas faire.
Les identifiants d'administration codés en dur sont très probablement quelque chose qui est resté du développement du logiciel. Les programmeurs codent parfois les codes d'accès dans un programme pour faciliter le travail de développement. Ils peuvent ainsi travailler plus rapidement et plus efficacement, même si cela n'est pas du tout sécurisé. Au cours de la phase de développement, la sécurité ne doit pas être garantie, car le produit n'est pas encore commercialisé. L'idée est que ces accès soient supprimés du code une fois le travail terminé.
La partie concernant la suppression est passée à la trappe dans le cas des produits MyCloud de Western Digital. Par conséquent, vous pouvez facilement vous connecter à pratiquement n'importe quel appareil avec les données suivantes.
- Nom d'utilisateur : mydlinkBRionyg .- Mot de passe : abc12345cba
Vous ne pouvez pas modifier ces données, et encore moins y accéder.
Que puis-je faire ? Suis-je condamné?!
Vous avez un WD MyCloud chez vous. Eh bien, vous avez un problème. Pas trop gros, mais un problème. La solution au problème est simple : mettre à jour le logiciel. Car grâce à la Responsible Disclosure, Western Digital a pu corriger le problème avant qu'il ne soit rendu public et éventuellement largement exploité.
Tout ce que vous avez à faire est de mettre à jour le logiciel de votre MyCloud à une version supérieure à la version 2.30.165. Un échantillon pour les appareils de la série EX-4 montre que le logiciel actuel est la version 2.30.174 au moment de la rédaction.
Si vous en avez assez de WD et que vous voulez un autre NAS, notre équipe de gestion des produits vous recommande les modèles suivants :
D'une manière générale, un mot sur les menaces. Bien sûr, il y a toujours des vulnérabilités dans les appareils que vous avez chez vous. Cela ne changera pas de sitôt. Mais vous n'êtes pas pour autant en danger immédiat. La raison en est que vous n'êtes probablement pas une personne d'intérêt mondial. Vous avez peut-être quelques photos de vacances et un peu de musique.
Mais vous n'êtes pas Scarlett Johansson ou Charlie Hunnam, qui pourraient avoir des photos d'eux nus sur MyCloud. Vous n'êtes pas non plus une grande entreprise qui a des secrets commerciaux importants sur WD MyCloud. Et de toute façon, si vous possédez une entreprise et que vous stockez toutes vos données sur un WD MyCloud, vous faites fondamentalement quelque chose de mal.
Cela ne signifie pas pour autant que vous ne devez pas vous soucier de votre sécurité. En effet, l'exécution de code à distance sur votre NAS peut être utilisée comme plate-forme d'attaque pour un autre piratage. Ou quelqu'un peut vous subtiliser des données, simplement pour qu'elles soient en sécurité sur un serveur suisse.
Voilà, c'est fini. Restez à jour et restez en sécurité!
Journaliste. Auteur. Hackers. Je suis un conteur d'histoires à la recherche de limites, de secrets et de tabous. Je documente le monde noir sur blanc. Non pas parce que je peux, mais parce que je ne peux pas m'en empêcher.
Informatique
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.
38 commentaires
later