Passer au contenu

Alerté depuis plus d’un an, Western Digital ignore une faille critique dans ses NAS

Une mauvaise gestion des cookies de session permet à un attaquant de prendre le contrôle à distance des disque de stockage My Cloud. Mais le fabricant n’en a cure.

Si vous avez un disque de stockage Western Digital My Cloud, songez rapidement à en acheter un autre. Et en attendant, ne le rendez pas accessible sur Internet. En effet, le support en sécurité fourni par le fabricant est déplorable et ces équipements sont une invitation pour les pirates à venir fouiller dans vos données. Depuis plus d’un an, les chercheurs en sécurité de Securify et Exploitee.rs ont alerté Western Digital sur l’existence d’une faille critique dans ses équipements, mais la société n’a jamais rien fait pour y remédier. Et ce alors que cette faille est très facile à exploiter. Un module d’exploitation a même déjà été écrit pour Metasploit, la célèbre plateforme de tests d’intrusion.

https://twitter.com/Exploiteers/status/1042093284666040325

Cette faille est liée à une mauvaise gestion des cookies de session et permet de contourner l’authentification à la console d’administration du disque de stockage. Quelques lignes de code suffisent pour prendre le contrôle de la machine à distance en tant qu’administrateur, comme on peut le voir dans cette animation.  

Ce manque de professionnalisme de Western Digital n’est pas très étonnant. Le fabricant est régulièrement épinglé pour ses multiples de failles de sécurité. En 2016, Il avait reçu un « Pwnie Award » dans la catégorie « Réponse fournisseur la plus bancale ».

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN