Selon certains experts, Western Digital n’a pas réussi à corriger une vulnérabilité sérieuse au niveau de ses disques MyCloud NAS, dont l’existence avait pourtant été portée à sa connaissance depuis 1 an.
Pire encore, cette situation délicate apparaît malgré le fait que le problème ait été rendu public lors de DEF CON 25 en juillet de l’année dernière.
La dernière faille de sécurité, découverte de manière indépendante par des chercheurs de Securify et Exploitee.rs, est un contournement d’authentification qui pourrait donner à un attaquant local un contrôle complet sur les lecteurs.
Les chercheurs ont démarré une session administrateur liée à leur adresse IP, puis ont trompé le lecteur en lui faisant croire que celle-ci était authentifié en définissant un cookie de type username=admin.
Cette action a été possible car :
Le module CGI network_mgr.cgi contient une commande appelée cgi_get_ipv6 qui démarre une session administrateur liée à l’adresse IP de l’utilisateur lançant la requête et lorsque cette dernière est appelée avec le paramètre flag est égal à 1.
Pas de mot de passe administrateur, rien, juste une simple requête CGI au niveau du serveur web de MyCloud et un cybercriminel pourrait alors pénétrer via un réseau local (une possible mise danger à distance dépendrait de l’activation d’un tel accès).
Securify a même publié une preuve de concept comportant quelques lignes de code, il ne s’agit pas ici d’un piratage majeur.
La seule autre exigence est que MyCloud utilise l’image du firmware 2.x BusyBox, ce qui serait le cas pour les nouveaux périphériques (les anciennes versions de Debian Wheezy 3.x et 4.x ne sont pas affectées).
En dépit du fait que cette faille ait été signalée à Western Digital à partir d’avril 2017, aucun des chercheurs n’a reçu de retour concernant ce problème, que ce soit pour reconnaître l’existence réelle de ce problème ou bien pour donner un planning de correction de celui-ci. Voici le tweet de Remco Vermeulen d’Exploitee.rs qui l’avait présentée à DEF CON :
We contacted WD about the same vuln and even publicly disclosed it at DEFCON 25 last year (as well as the https://t.co/CdqUCdgpCq wiki). Western Digital refused to acknowledge or fix the finding, so I went as far as to write a @metasploit module for it. https://t.co/oeOxsWeTo4
— Exploitee.rs (@Exploiteers) 18 septembre 2018
Désignée sous le nom CVE-2018-17153 cette semaine, Western Digital MyCloud a même son propre Wiki Exploitee.rs détaillé, à savoir une base de connaissances sur les faiblesses de cette famille de produits.
L’année dernière, les vulnérabilités de sécurité de MyCloud se sont multipliées, incluant plusieurs vulnérabilités en janvier dernier, qui impliquaient des backdoors hardcodées. À cette occasion, il a fallu des mois à Western Digital pour publier un correctif, qui d’ailleurs était susceptible de ne pas traiter tous les problèmes qui auraient dû être corrigé.
Il semble que l’entreprise ait des problèmes avec la façon dont elle traite les vulnérabilités après leur signalement !
Même si elle considère qu’une vulnérabilité est peu prioritaire (à savoir avec une faible probabilité d’être exploitée), les 101 bonnes pratiques en matière de divulgation de vulnérabilités (Vulnerability Disclosure Policies – VDPs) imposent de garder les chercheurs dans la boucle !
En résumé la règle est simple : lorsqu’un correctif est disponible, il doit être publié sur le site support de Western Digital !
Billet inspiré de Western Digital goes quiet on unpatched MyCloud flaw, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.