Passer au contenu

Disques durs Western Digital effacés : les pirates ont utilisé une faille zero-day

On sait désormais quelles techniques ont été utilisées pour effacer les disques My Live et My Live Duo, mais on ne sait toujours pas pourquoi.

Le mystère des disques Western Digital Live effacés se dévoile petit à petit. D’après le fabricant, deux failles ont été exploitées sur les appareils des victimes. La première, CVE-2018-18472, permet d’exécuter du code arbitraire à distance avec les privilèges administrateurs. Elle a été détectée en octobre 2018, mais n’a jamais été patchée sur ces appareils. Ces derniers, en effet, avaient atteint leur fin de support en 2015. Selon Western Digital, cette faille a servi à installer un cheval de Troie sur certains des appareils concernés.

Plus de 13 000 appareils effacés

La réinitialisation, en revanche, a été réalisée au travers d’une seconde faille, CVE-2021-35941, qui était jusqu’alors inconnue. Une erreur idiote dans le code de la dernière version du firmware permet d’utiliser à distance la fonction system_factory_restore sans aucune authentification. En scannant la Toile, les chercheurs en sécurité de Censys estiment que cette réinitialisation a été effectuée sur plus de 13 000 appareils dans le monde, dont plus de 500 en France.

A découvrir aussi en vidéo :

 

Mais le comment n’explique pas le pourquoi. Les chercheurs de Censys pensent que cette réinitialisation découlerait d’une rivalité entre opérateurs de botnets. En faisant table rase, on peut en effet éliminer les éventuels concurrents qui ciblent les mêmes appareils. Mais pour Western Digital, il n’y aurait qu’un seul acteur aux manettes. « Notre enquête montre que dans certains cas, le même attaquant a exploité les deux vulnérabilités sur l’appareil, comme en témoignent les adresses IP source. La première vulnérabilité a été exploitée pour installer un binaire malveillant sur l’appareil, et la seconde vulnérabilité a ensuite été exploitée pour réinitialiser l’appareil », explique Western Digital dans une note technique. Mais les raisons d’un tel acte restent difficiles à appréhender. L’affaire garde donc toujours une part de mystère.

Les détenteurs d’un My Book Live ou My Book Live Duo qui n’ont pas encore été piratés sont invités à déconnecter immédiatement leurs appareils de l’Internet. Quant aux victimes, Western Digital leur proposera des services de récupération de données. Tout n’est donc pas encore perdu. Tous les clients de My Book Live et MyBook Luve Duo pourront profiter par ailleurs d’une offre d’achat. Ils pourront alors remplacer leurs NAS par un équipement plus récent. Mais auront-ils toujours envie d’utiliser des produits Western Digital ? Rien n’est moins sûr.

Sources: Western Digital, Censys

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN