METTRE À JOUR: Western Digital a répondu à notre demande de déclaration, publiée ci-dessous..

Les chercheurs en sécurité de Securify ont découvert une vulnérabilité sur les boîtiers My Cloud NAS de Western Digital, qui permet aux assaillants d’exercer un contrôle total sur leur contenu. L'exploit nécessite un accès réseau local ou Internet à un appareil My Cloud pour pouvoir être exécuté et contourne les exigences de connexion habituelles du boîtier NAS..

Appelé CVE-2018-17153, le bogue pourrait éventuellement donner aux pirates de l'air la possibilité d'exécuter des commandes nécessitant généralement des privilèges d'administrateur. Une fois l'accès obtenu, les pirates informatiques peuvent afficher, copier, supprimer ou écraser tous les fichiers stockés sur l'appareil..

Votre nuage peut être utilisé

Selon Securify, "le module CGI de network_mgr.cgi contient une commande appelée cgi_get_ipv6 qui démarre une session d'administrateur liée à l'adresse IP de l'utilisateur à l'origine de la demande lorsqu'elle est invoquée avec l'indicateur de paramètre égal à 1. Invocation ultérieure de commandes requièrent normalement que les privilèges d’administrateur soient désormais autorisés si un attaquant installe la nom d'utilisateur = admin biscuit."

Couper à travers le jargon, cela signifie essentiellement que c'est la façon dont WD My Cloud configure une session d'administrateur connectée à une adresse IP qui pose le problème. En ajoutant simplement le cookie nom d'utilisateur = admin à une demande HTTP CGI envoyée via un réseau local ou une connexion Internet, toute personne peut accéder au contenu stocké sur le boîtier NAS.

Securify a soulevé la question avec Western Digital en avril, lorsque la faille a été découverte, mais n'a jamais eu de réponse de la part de la société. Après cinq mois de silence de la part de DEO, Securify a décidé de divulguer publiquement la vulnérabilité..

Nous avons contacté Western Digital pour un commentaire et la société a confirmé qu'une mise à jour du micrologiciel sera déployée sous peu pour résoudre le problème. "Nous sommes en train de finaliser une mise à jour programmée du micrologiciel qui résoudra le problème signalé", a répondu WD dans un courrier électronique. "Nous prévoyons de publier la mise à jour sur notre site de support technique à l'adresse https://support.wdc.com/ d'ici quelques semaines."

  • Lire la suite: WD My Passport Wireless SSD examen