Une seconde vulnérabilité dans les My Book Live a été découverte, ce qui explique les suppressions de données dont ont été victimes des clients.
Découverte dans une analyse réalisée par Ars Technica et Censys, cette vulnérabilité permet de réaliser une restauration à l'état d'usine sans avoir besoin d'un mot de passe.
Une faille zero-day présente depuis 2011
Il y a quelques jours, plusieurs utilisateurs rapportaient que les données de leur My Book Live de Western Digital avaient tout simplement disparu. L'entreprise avait conclu que les hackers avaient utilisé la vulnérabilité CVE-2018-18472. Découverte en 2018 par deux chercheurs, elle permet à n'importe qui connaissant l'adresse IP de l'appareil d'obtenir un accès root sur celui-ci. Western Digital ayant arrêté de supporter les My Book Live en 2015, cette faille n'avait jamais été patchée.
Cependant, cela n'explique pas vraiment pourquoi les utilisateurs ont perdu leurs données. La faille semble surtout avoir été exploitée pour installer plusieurs fichiers malveillants, obligeant l'appareil à rejoindre le botnet Linux.Ngioweb. Après des recherches supplémentaires, il semblerait qu'une deuxième faille soit à l'origine de la suppression des données, comme rapporté par Ars Technica. Désormais nommée CVE-2021-35941, elle ne donne pas le contrôle de l'appareil, mais elle permet de le restaurer à l'état d'usine sans avoir besoin d'un mot de passe.
Plus surprenant, du code avait bien été écrit pour éviter cette faille, demandant une authentification avant de pouvoir réaliser une restauration. Cependant, il a été commenté par un développeur. D'après Western Digital, c'est arrivé en avril 2011 lors de la refactorisation de leur code se chargeant de l'authentification. Toute la logique d'authentification avait été rassemblée dans un seul fichier qui déterminait quel type d'authentification était nécessaire pour chaque endpoint. Si le « vieux » code a bien été commenté, on avait oublié d'ajouter le nouveau type d'authentification pour la restauration à l'état d'usine dans le nouveau fichier.
Pas de patch, mais des services de récupération de données offerts par Western Digital
Des questions demeurent quant au fait que les deux failles aient été exploitées en même temps. Derek Abdine de Censys a émis l'hypothèse d'une rivalité entre deux hackers, l'un utilisant la première vulnérabilité pour son botnet et l'autre, un rival, décidant d'exploiter la zero-day pour supprimer toutes les données des My Book Live pour le saboter ou prendre le contrôle des appareils à sa place. Cependant, Western Digital a indiqué avoir vu des instances où les deux vulnérabilités avaient été utilisées par les mêmes personnes.
L'entreprise a annoncé mettre en place gratuitement des services de récupération des données pour les clients affectés ainsi qu'un programme d'échange pour remplacer les My Book Live par des appareils My Cloud à jour. Ces services seront disponibles en juillet, et en attendant, il est toujours conseillé de garder son appareil déconnecté.
Sources : The Verge, Ars Technica, Censys
.