COMPTOIR
  
register

×

western digita mycloud faille gulftech research liste t

Une backdoor grande ouverte chez Western Digital toujours pas corrigée après 6 mois ! (MAJ)
western digita mycloud faille gulftech research liste t

MAJ 09/01/2018 : d'après un article publié le 31 décembre sur le blog de WD, les failles rapportées par Gulftech et James Bercegay auraient en réalité été corrigées avec la sortie du firmware v2.30.172, disponible à l'ensemble des produits affectés depuis le 16 novembre (soit tout de même 6 mois après le partage des trouvailles avec WD). Assurez-vous donc de bien mettre à jour votre appareil si vous êtes l'heureux possesseur d'un des engins sur la liste ci-dessous.


Le mot d'ordre de ce début 2018 : sécurité ! Aujourd'hui sont concernés tout leisés par Western Digital avec une porte dérobée codée en dur au sein de l'OS. La faille ne serait pas bien compliquée à s'exploiter, puisqu'il suffit à n’importe qui de s'identifier avec "mydlinkBRionyg" comme nom utilisateur et d'entrer "abc12345cba" en mot de passe pour s'offrir un accès sans aucune restrictions aux racines du système. Cette faiblesse est également exploitable sur un réseau local sans action nécessaire de la part d'un utilisateur mal intentionné, notamment grâce à l'utilisation d'images HTML ou de tags iFrame crées spécialement pour l'occasion, un site malicieux saura ainsi envoyer des requêtes d’accès à l'intention de l'appareil sur le réseau local en utilisant des noms d’hôtes prévisibles.

 

western digital logo

 

La vulnérabilité est pourtant connue depuis mi-2017, découverte par James Bercegay en collaboration avec GulfTech Research and Development, et avait été publiée et  partagée le 12 juin avec Western Digital. Hélas, au jour d'aujourd'hui, aucun patch ou de solution pour colmater cette vilaine brèche n'ont été fournis par Western Digital ! En conséquence, James Bercegay a désormais dévoilé l'ensemble des détails autour de la vulnérabilité, ainsi que l'exploit proof-of-concept. Un module Metasploit a par ailleurs été publié, signifiant que le code pour l'exploitation de la faille est désormais accessible à tout le monde !

 

Ce silence de la part de WD est inacceptable et pas franchement flatteur pour leurs produits, mais avec cette publication l'entreprise est désormais sous pression et  n'a d'autre choix que de réagir immédiatement si elle ne veut avoir à faire face à des problèmes potentiellement bien plus sérieux (et couteux). Pour savoir si vous êtes concernés, voici la liste des produits affectés : My Cloud Gen 2, My Cloud EX2, EX2 Ultra, My Cloud PR2100 / 4100, My Cloud EX4, EX2100, EX4100, My Cloud DL2100 et DL4100. Il va de soi que la prudence est de mise en attendant le patch nécessaire à la fermeture de ce trou gênant, et il est fortement recommandable de limiter l’utilisation et l’accès à internet des appareils ci-dessus. Une épine de plus dans les pieds des produits MyCloud, vu que ce n'est pas la première fois et WD peine malgré tout toujours et encore à réagir rapidement... (Source : Techspot)

 

western digita mycloud faille gulftech research liste t [cliquer pour agrandir]

Un poil avant ?

Ragotron • Informatique et VDM !

Un peu plus tard ...

Un autre test pour le HP Envy X360 à base d'APU Raven Ridge

Les 30 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Un rat goth à l'heure embusqué, le Lundi 08 Janvier 2018 à 12h02  
par Un ragoteur du Dimanche embusqué, le Dimanche 07 Janvier 2018 à 18h12
Lorsque je pense "NAS", je lui place directement aux fesses un HDD externe (ah ben oui c'est plus cher le devis mon ami), et puis entre-nous un Raid chez soi n'a que peu d'intérêt, le Raid permet de garder une activité professionnelle en accès permanent suite à un sinistre (d'un des disques, si il s'agit de toute la série, tu peux pleurer tant que tu le veux c'est fini c'est fini SAUF si t'as un backup externe parce que tu conçois logiquement qu'un Raid ne va pas te sauver ta vie place )
J'ai du RAID 5 à la maison jamais je ne reviens sur un stockage basique! Chacun y trouve son intérêt ou pas après.(je n'utilise pas de NAS)
J'ai des connaissances qui ont des NAS 4,6 et 8 baies, font du RAID 5 aussi (comme moi le fait d'avoir nos données accessible tout le temps est appréciable) backup leur données importante (et externalise d'ailleurs, mais ne représente que très peu en stockage)mais même si ils apprécieraient de pouvoir tout backuper en tant que particulier c'est impossible c'est trop chère(en même temps on parle pour eux en peta octet)le raid (sauf sinistre extrême ou vol) leur permet de voir venir et anticiper une perte potentiel de données!
par jopopmk, le Lundi 08 Janvier 2018 à 08h44  
Je connaissais pas cette histoire. Par contre si c'est fonctionnellement une backdoor, ça fait plus penser à une version debug poussée par inadvertance
par Un ragoteur du Dimanche embusqué, le Dimanche 07 Janvier 2018 à 18h12  
Lorsque je pense "NAS", je lui place directement aux fesses un HDD externe (ah ben oui c'est plus cher le devis mon ami), et puis entre-nous un Raid chez soi n'a que peu d'intérêt, le Raid permet de garder une activité professionnelle en accès permanent suite à un sinistre (d'un des disques, si il s'agit de toute la série, tu peux pleurer tant que tu le veux c'est fini c'est fini SAUF si t'as un backup externe parce que tu conçois logiquement qu'un Raid ne va pas te sauver ta vie place )
par Un ragoteur sans nom embusqué, le Dimanche 07 Janvier 2018 à 16h37  
par Un ragoteur tout mignon embusqué, le Dimanche 07 Janvier 2018 à 15h53
Loin de la, parce que d'une part, on à une dizaine de bécane différente et j'ai pas envie de me faire ch*** à balader un disque dur.
Et pourtant il n'y a rien de plus sûr que le stockage passif (e.g. boîte de conserve Vs réfrigérateur).

 

Que c'est un RAID, donc redondance des disques + une sauvegarde incrémental toute les nuits sur un serveur chez une connaissance.


Il n'y a rien de pire que la fausse sécurité apportée par la sauvegarde active automatisée. Il ne suffit que d'un petit grain de sable pour gripper toute la mécanique.

 

et ça me sert aussi pour récupérer mes données sur mes pc portables quand je taf à l'extérieur...
un pauvre dock usb ne fait pas ça... et le cloud, je n'aurais aucune confiance en la fiabilité et la sécurité de mes données


Tu troques un peu de liberté contre la sécurité de tes données exposées au monde par internet... c'est ridicule!
par vasyjeannot, le Dimanche 07 Janvier 2018 à 16h22  
par Un ragoteur qui draille embusqué, le Dimanche 07 Janvier 2018 à 13h37
Ca a l'air très intéressant de discuter avec toi. Désolé je préfère aller glander sur pole-emploi.fr, à bientot pour de nouveaux échanges enrichissants
dépêche toi de trouver du TAF sinon Jupiter va s' occuper de ton cas
par Un ragoteur tout mignon embusqué, le Dimanche 07 Janvier 2018 à 15h53  
par vasyjeannot, le Dimanche 07 Janvier 2018 à 12h31
Tu le dis toi même ton engin préhistorique te sert juste de stockage...

Tu mettrais un HDD sur un dock USB ça ferait pareil
Loin de la, parce que d'une part, on à une dizaine de bécane différente et j'ai pas envie de me faire ch*** à balader un disque dur.
Que c'est un RAID, donc redondance des disques + une sauvegarde incrémental toute les nuits sur un serveur chez une connaissance.
et ça me sert aussi pour récupérer mes données sur mes pc portables quand je taf à l'extérieur...
un pauvre dock usb ne fait pas ça... et le cloud, je n'aurais aucune confiance en la fiabilité et la sécurité de mes données
par Un ragoteur qui draille embusqué, le Dimanche 07 Janvier 2018 à 13h37  
Ca a l'air très intéressant de discuter avec toi. Désolé je préfère aller glander sur pole-emploi.fr, à bientot pour de nouveaux échanges enrichissants
par vasyjeannot, le Dimanche 07 Janvier 2018 à 13h21  
Ben non justement 2 ventilos de 80 totalement silencieux..

8 HDD a 35° en moyenne et pas un brin de poussiere

C'est clair qu' on a pas le même rapport a l' argent,font chier ces pauvres qui vivent du chômage et du RSA,c' est clair que temps libre, eux ils en ont
par Un ragoteur charitable embusqué, le Dimanche 07 Janvier 2018 à 13h02  
Mouais un NAS de marque pour la maison, c'est souvent trop cher pour ce qu'il y a dedans... mais nous n'avons probablement pas le même rapport à l'argent...
Les distribs libres spécialisées (ou non) ont généralement des équipes très réactives quand une drouille est découverte, et ne sont pas en lien avec les fumiers qui viennent te fouiner ton trou de balle (GAFAM et autres services dénoncés par Snowden)

Et à propos de la poussière, il y en a autant dans ton boitier étriqué, généralement ventilé par un machin de 4cm de diamètre au cul... sauf qu'il n'y a que 1mm de libre autour des durs... ils adorent la chaleur, c'est bien connu !
par vasyjeannot, le Dimanche 07 Janvier 2018 à 12h45  
pas a prix d' or justement

Pas sur que les FreeNAS et autres soit exempts de tous problèmes de ce genre

parce que toi ton boitier il est grand ouvert??? bonjour la poussiere

par Un ragoteur Gaulois embusqué, le Dimanche 07 Janvier 2018 à 12h41  
par vasyjeannot, le Dimanche 07 Janvier 2018 à 10h52
T' auras jamais la fiabilité l' économie électrique et la maintenance d' un vrai NAS de marque
ça reste du bricolage
Voila une parole d'un connaisseur qui a acheté son boitier tout fermé à prix d'or pour quelques composants inside, et un OS fermé dans lequel on trouve ce genre de backdoor...
par vasyjeannot, le Dimanche 07 Janvier 2018 à 12h31  
Tu le dis toi même ton engin préhistorique te sert juste de stockage...

Tu mettrais un HDD sur un dock USB ça ferait pareil