Ordinateurs

Western Digital a supprimé le code qui aurait empêché les piratages de disque dur à grande échelle

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Vous avez peut-être entendu dire il y a quelques jours que les propriétaires de certains disques durs externes Western Digital My Book étaient touché par un exploit à distance qui a supprimé toutes leurs données. Alternativement, vous pouvez être le propriétaire malchanceux d’un My Book Live et être toujours en deuil suite à la perte de vos précieux fichiers. Dans les deux cas, il semble que la cause du piratage de reformatage n’était pas la vulnérabilité de 2018, mais plutôt un exploit zero-day causé par un développement bâclé. Cependant, cela ne disculpe pas WD d’actes répréhensibles. Si quoi que ce soit, c’est encore pire.

La semaine dernière, de nombreux propriétaires de disques durs My Book Live se sont réveillés pour découvrir que leurs appareils avaient été réinitialisés. Contrairement à la plupart des disques externes, le My Book Live n’a pas de port USB. Il est destiné à se connecter à votre réseau local via un câble Ethernet afin d’être accessible depuis tous vos autres appareils. Cependant, il est par défaut disponible en ligne à tout moment et WD a cessé de prendre en charge le My Book Live il y a plusieurs années.

Il est vrai que si WD n’avait pas abandonné la gamme My Book Live, il aurait peut-être repéré le problème avant le piratage. Cependant, la supposition initiale selon laquelle le piratage provenait entièrement d’une faille non corrigée de 2018 s’est avérée fausse. Ars Technica et le chercheur en sécurité Derek Abdine affirment maintenant que le piratage de masse provient d’une faille non signalée dans le logiciel de lecteur de WD. Le logiciel comprenait une vérification d’authentification chaque fois que la commande de réinitialisation intégrée était déclenchée. Cependant, pour des raisons inconnues, il a été désactivé dans le logiciel d’expédition. Tout ce que l’attaquant avait besoin de savoir pour vider les disques était de savoir comment formater la requête XML. Le code, vu ci-dessous, aurait bloqué le reformatage, mais la double barre oblique au début de chaque ligne indique qu’il a été « commenté ».

fonction post($urlPath, $queryParams = null, $ouputFormat = ‘xml’) {
// if(!authenticateAsOwner($queryParams))
// {
// en-tête (« HTTP/1.0 401 non autorisé »);
// retour;
// }

Donc, tout cela est assez bizarre, mais ça devient encore plus bizarre. Ces disques sont en effet vulnérables à CVE-2018-18472, l’exploit de 2018 que Western Digital a initialement identifié comme la cause. Il affirme que dans au moins certains des hacks connus, les attaquants ont utilisé CVE-2018-18472 pour y accéder, puis ont déclenché le jour zéro pour formater le disque. La faille de 2018 devraient ont donné à l’attaquant un accès root, il n’est donc pas clair pourquoi ils ont également utilisé le jour zéro. Plusieurs lecteurs piratés contiennent des logiciels malveillants conçus pour le matériel PowerPC du lecteur. Cela fait des lecteurs une partie du botnet Linux.Ngioweb.

Dan Goodin d’Ars a une théorie à ce sujet, et c’est une théorie avec laquelle je suis d’accord. Goodin suppose que l’installation et la réinitialisation du botnet ont été effectuées par différents attaquants. Peut-être que l’attaque par suppression de données était une tentative d’un rival de faire exploser le botnet de son ennemi. C’est juste dommage que les utilisateurs réguliers aient perdu toutes leurs données en étant pris au milieu. Quoi qu’il en soit, Western Digital a vraiment foiré en laissant un appareil avec deux de graves vulnérabilités se trouvent dans les maisons des gens tout ce temps.

Maintenant lis:

Bouton retour en haut de la page