Western Digital a supprimé le code qui aurait empêché l’effacement de Global My Book –
Un développeur de Western Digital a supprimé le code qui aurait empêché l’effacement en masse des lecteurs de stockage My Book Live la semaine dernière, selon un rapport de Ars Technica. Un hacker a exploité ce changement de code, susceptible de perturber une autre pirate informatique qui avait transformé certains appareils My Book Live en un botnet.
Les victimes de l’événement d’effacement mondial de la semaine dernière se sont plaints que l’outil de réinitialisation d’usine sur leurs appareils My Book Live devrait être protégé par mot de passe. Évidemment, c’était autrefois le cas. Mais un développeur de Western Digital a modifié le script PHP system_factory_restore pour bloquer toutes les vérifications d’authentification. Pour être clair, ce développeur n’a pas supprimé les contrôles d’authentification, mais a simplement ajouté des barres obliques avant le code pour l’empêcher de s’exécuter.
function get($urlPath, $queryParams=null, $ouputFormat="xml"){
// if(!authenticateAsOwner($queryParams))
// {
// header("HTTP/1.0 401 Unauthorized");
// return;
// }
Dans une conversation avec Ars Technica, expert en sécurité et PDG de Rumble HD Moore a déclaré que « le fournisseur qui commente l’authentification dans le point de terminaison de restauration du système ne leur donne vraiment pas l’impression que les choses se passent bien… C’est comme s’il avait intentionnellement activé le contournement ». Encore plus accablant est le fait que ce pirate a déclenché des réinitialisations d’usine avec une requête XML, ce qui nécessiterait une connaissance préalable du système My Book Live ou une excellente conjecture.
Mais ce n’est pas tout. La plupart des appareils touchés par l’exploit de réinitialisation d’usine avaient déjà été victimes d’une tentative de piratage. Un récent article de blog de Western Digital indique que les pirates ont utilisé CVE-2018-18472, un exploit vieux de trois ans, pour obtenir un accès administratif complet sur les lecteurs My Book Live. Cet exploit permet aux pirates d’exécuter des commandes de haut niveau sur les lecteurs et d’afficher ou de modifier des fichiers.
Fait intéressant, l’exploit CVE-2018-18472 était protégé par mot de passe par un pirate informatique. Western Digital dit qu’il a été utilisé pour diffuser .nttpd,1-ppc-be-t1-z, un malware PowerPC qui transforme les appareils en un botnet Linux.Ngioweb – essentiellement un service proxy rotatif qui peut cacher l’identité des cybercriminels ou tirer parti des attaques DDoS .
Western Digital dit qu’il ne sait pas pourquoi les pirates exploiteraient le CVE-2018-18472 et vulnérabilités de réinitialisation d’usine dos à dos. Cela semble certainement contre-intuitif; pourquoi voudriez-vous tranquillement créer un botnet juste pour créer un scandale massif et pousser les utilisateurs de My Book Live à acheter un nouveau périphérique NAS ?
La conclusion de Censys et Ars Technica semble le plus plausible : un pirate a exécuté l’exploit de réinitialisation d’usine pour saboter le botnet en pleine croissance. Peut-être que les pirates sont des rivaux, bien que tout cela ait pu être une coïncidence. Qui sait, peut-être que quelqu’un dans un chat ou un forum Discord a annoncé que les appareils My Book Live n’avaient pas été mis à jour depuis 2015, ce qui a conduit deux pirates à lancer des attaques indépendantes dans le même délai.
Si vous êtes un utilisateur de My Book Live, veuillez déconnecter votre lecteur d’Internet et ne plus jamais l’utiliser comme périphérique de stockage à distance. Les nouveaux appareils NAS, y compris ceux de Western Digital, ont des fonctionnalités de sécurité qui sont réellement à jour.
Source : Ars Technica