Attention, votre vieux WD My Book Live (Duo) est vulnérable... |
————— 26 Juin 2021 à 07h49 —— 17263 vues
Attention, votre vieux WD My Book Live (Duo) est vulnérable... |
————— 26 Juin 2021 à 07h49 —— 17263 vues
Western Digital a publié une recommandation pour tous les utilisateurs des My Book Live et My Book Live Duo, les invitant à isoler leur appareil d'internet ! En effet, le constructeur suspecte fortement qu'un logiciel pas très bienveillant aurait été à l'origine de bien des ennuis pour certains des utilisateurs, dont plusieurs ont vu l'intégralité de leurs données se faire effacer du jour au lendemain par leur My Book Live, ce dernier ayant apparemment décidé de lui-même de procéder à un retour au paramètre d'usine sans prévenir... Ouch ! D'autres encore auraient rapporté qu'il leur était désormais impossible de s'identifier, leur mot de passe administrateur n'étant plus reconnu, pas même celui par défaut de l'appareil. L'enquête est toujours en cours, il n'y aurait pour l'instant aucune indication que les services cloud de WD furent directement compromis.
Oups.
Introduite en 2011/2012, L'ancienne gamme My Book Live (Duo) était une série de produits connectés à internet destinés à jouer le rôle de stockage personnel dans les nuages, avec des capacités de 1 à 8 To et des fonctionnalités de backups automatiques, d'accès à distance sécurisé, de streaming et de serveur. Les versions Duo pouvaient également être configurées en RAID-1. Une offre qui fut arrêtée assez rapidement en 2012, la plupart de ces produits sont donc aujourd'hui relativement âgés, ce qui n'est pas forcément un problème dès lors que le fabricant continue à fournir des mises à jour, au moins de sécurité. Et c'est sans aucun doute bien là que s'est trouvé le problème aujourd'hui, puisque la dernière update de sécurité remonte à 2015, tout de même un peu un comble pour un objet connecté destiné au grand public et censé fournir un cloud « gratuit » ! D'autant plus que toutes les versions My Book Live et Duo possèdent une vulnérabilité identifiée en 2018 et publiée en 2019, nommée CVE-2018-18472 et décrite ainsi :
Western Digital WD My Book Live and WD My Book Live Duo (all versions) have a root Remote Command Execution bug via shell metacharacters in the /api/1.0/rest/language_configuration language parameter. It can be triggered by anyone who knows the IP address of the affected device, as exploited in the wild in June 2021 for factory reset commands.
Bref, quelqu'un ou quelque chose s'est donc récemment amusé à exploiter cette faille jamais corrigée, au grand dam de ceux qui ont tout perdu. Toutefois, en supposant que la suppression ne fut pas accompagnée par une nouvelle écriture de bits sur le disque dur, il pourrait y avoir espoir de récupérer certaines des données effacées avec les outils adaptés, sauf bien sûr si tout était chiffré... On attend maintenant aussi de voir quelles seront les actions prises par WD, vis-à-vis d'une faute qui est essentiellement la sienne. Enfin, ce n'est même pas une première pour le constructeur, puisque ses My Cloud plus récents avaient également fait l'objet d'une découverte de failles de sécurité en 2017, dont une backdoor corrigée un peu tardivement. Pas bien glorieux pour l'image de marque de WD et ses objets connectés... (Source)
Un poil avant ?Lian Li se met aux alimentations petit format avec son SP750 | Un peu plus tard ...Nouvelle fuite sur les performances de l'Intel DG2, regardons ça ! |