Piratage NAS WD My Book Live suite et fin ?

Il y a quelques jours, nous vous annoncions une attaque d’ampleur contre les NAS WD My Book Live et My Book Live Duo. Le fabricant a publié un ensemble d’éléments qui permettent de mieux comprendre la situation et propose déjà des solutions à ses clients : service de récupération des données gratuit et programme de changements des NAS. Explications…

WD My Book Live - Piratage NAS WD My Book Live suite et fin ?

WD propose des solutions

Les NAS WD My Book Live et My Book Live Duo ont subi une attaque d’envergure avec à la clé suppression des données et installation d’un cheval de Troie. Pour rappel, ces boîtiers réseau n’étaient plus mis à jour depuis 2015. Pour ceux qui étaient encore accessibles depuis internet, malheureusement l’attaque a été sévère.

Western Digital est revenu hier sur la situation et à expliquer l’attaque. Tout d’abord, les attaquants ont ciblé les NAS directement avec les adresses IP publiques. Les boîtiers étaient donc bien directement accessibles depuis l’extérieur (UPnP ?), via Internet. Western Digital annonce « Notre enquête sur cet incident n’a pas permis de découvrir de preuves que les services de cloud Western Digital, les serveurs de mise à jour du micrologiciel ou les informations d’identification des clients ont été compromis ».

Les attaquant ont exploité une première faille permettant l’exécution de commande à distance. Certains NAS auraient ainsi eu le droit à l’installation d’un cheval de Troie (via .nttpd,1-ppc-be-t1-z, binaire ELF Linux compilé). Puis, ils ont exécuté une opération de réinitialisation usine, avec effacement des disques, sans authentification (CVE-2021-35941). Western Digital indique : « le type d’authentification ADMIN_AUTH_LAN_ALL n’a pas été ajouté à component_config.php, entraînant la vulnérabilité »… ce qui explique qu’il n’y ait pas besoin de s’authentifier pour exécuter la commande via system_factory_restore.php.

Afin d’aider les clients impactés, Western Digital va fournir des services de récupération de données dans les prochains jours (début juillet). Oui, le fabricant va payer pour la récupération des données de leurs clients. En plus, ceux qui le souhaitent se verront proposer un programme d’échange pour passer à un appareil plus récent : My Cloud (non impacté par les failles). Le mal est fait, mais Western Digital tente d’aider ses clients… On appréciera les propositions du fabricant pour résoudre les problèmes. Tous n’en auraient pas fait autant…

Pour plus d’information, rendez-vous sur la page officielle Western Digital