Une vulnérabilité de type "zero-day" dans les périphériques Western Digital My Book Live a permis à un acteur de la menace d'effectuer, en juin dernier, une réinitialisation des périphériques, entraînant une perte massive de données. La situation a été portée à la connaissance des médias lorsque les propriétaires des périphériques se sont rendus sur le forum d'assistance de Western Digital après qu’ils aient soudainement découvert que leurs fichiers stockés avaient mystérieusement disparu. Malheureusement, la réinitialisation d'usine a également réinitialisé les mots de passe d'administration, de sorte que les utilisateurs ne pouvaient pas se connecter à leurs appareils via le tableau de bord Web ou SSH. Western Digital a d’abord pointé du doigt une vulnérabilité déjà connue, et a recommandé à ses clients de débrancher les appareils de stockage d'Internet jusqu'à nouvel ordre.Des pétaoctets de données, des années de souvenirs et des mois de travail acharné ont disparu en un instant. Les utilisateurs ne pouvaient même pas se connecter à l'infrastructure Cloud de Western Digital pour établir un diagnostic, car leurs mots de passe ne fonctionnaient plus. Plusieurs propriétaires dans le monde entier, qui possèdent ce périphérique de stockage relié au réseau, ont cherché la cause du problème et ont déterminé que leurs appareils avaient été effacés après avoir reçu une commande à distance pour une réinitialisation d'usine.
Les incidents massifs d'effacement de disque ont été révélés dans un fil de discussion sur le forum d'assistance de Western Digital. Une personne a écrit le 24 juin : « J'ai un WD My Book Live connecté au réseau local de ma maison et qui a bien fonctionné pendant des années. Je viens de découvrir que, d'une manière ou d'une autre, toutes les données qu'il contenait ont disparu aujourd'hui, alors que les répertoires semblent là mais vides. Auparavant, le volume 2T était presque plein, mais maintenant il affiche une capacité complète ».
D'autres utilisateurs de WD My Book Live ont rapidement rejoint la conversation pour signaler qu'ils avaient eux aussi connu précisément la même chose. « Toutes mes données ont disparu aussi », a rapidement répondu un utilisateur. « Je suis complètement foutu sans ces données... des années de données ». Plusieurs utilisateurs ont signalé une réinitialisation d'usine sur leur appareil comme étant à l’origine de la perte de leurs données. L’un des utilisateurs a publié une copie de son journal montrant comment un script a été exécuté pour éteindre son périphérique de stockage pour une restauration d'usine :
Le WD My Book est un périphérique de stockage populaire pour les particuliers et les entreprises. Il se branche sur les ordinateurs, généralement par USB. Le modèle concerné, connu sous le nom de My Book Live, utilise un câble Ethernet pour se connecter à un réseau local. De là, les utilisateurs peuvent accéder à distance à leurs fichiers et effectuer des modifications de configuration via l'infrastructure Cloud de Western Digital.
Lorsque les gens découvraient que leurs données étaient manquantes, Western Digital avait initialement déclaré que les attaques étaient menées par le biais d'une vulnérabilité de 2018 suivie sous le nom de CVE-2018-18472, qui permettait un accès root de l'appareil. La vulnérabilité n'avait pas été corrigée, car la société a cessé de prendre en charge le WD My Book Live en 2015. Cependant, il semble qu'il y ait eu plus de choses qui se sont passées que ce qui était initialement soupçonné.
Western Digital a indiqué dans son communiqué que « Nous n'avons aucune indication d'une violation ou d'une compromission des services ou des systèmes de Cloud Western Digital ». La société a recommandé à ses clients de déconnecter leurs appareils My Book Live d'Internet afin de protéger leurs données sur l'appareil, du moins ceux qui ne sont pas encore touchés.
Une faille "zero-day" utilisée pour effectuer des réinitialisations d'usine, et non un bug de 2018
Si les acteurs de la menace ont utilisé la vulnérabilité de 2018 dans les attaques contre les appareils WD My Book Live, il s'agissait en fait d'une vulnérabilité zero-day différente qui est responsable des réinitialisations d'usine. Un rapport du directeur technique de Censys, Derek Abdine, a révélé que le dernier firmware des appareils My Book Live contenait une vulnérabilité de type zero-day qui permettait à un attaquant distant d'effectuer des réinitialisations d'usine sur des appareils connectés à Internet. Si le deuxième exploit ne donne pas à un attaquant le contrôle total de l'appareil comme l'autre exploit, il lui permet simplement d'effacer l'appareil à distance sans avoir à connaître le mot de passe.
Bien que les réinitialisations d'usine soient généralement autorisées via des consoles d'administration à distance, elles nécessitent toujours que l'administrateur s'authentifie d'abord sur l'appareil. Dans le script nommé system_factory_restore du firmware du My Book Live, pour des raisons inconnues, Abdine a remarqué que la vérification de l'authentification a été annulée, ou dans le langage des développeurs, elle a été commentée, comme l'indique le double caractère / au début de chaque ligne.
Western Digital a fourni, dans une mise à jour de son précédent communiqué, de nouveaux détails techniques sur le zero-day, qui est maintenant suivi sous le nom de CVE-2021-35941. Les responsables de la société ont écrit :
« Nous avons entendu les préoccupations concernant la nature de cette vulnérabilité et nous partageons des détails techniques pour répondre à ces questions. Nous avons déterminé que la vulnérabilité de la réinitialisation d'usine non authentifiée a été introduite dans le My Book Live en avril 2011 dans le cadre d'une refonte de la logique d'authentification dans le micrologiciel du dispositif. Le refactoring a centralisé la logique d'authentification dans un seul fichier, qui est présent sur l'appareil sous le nom de includes/component_config.php et contient le type d'authentification requis par chaque point de terminaison. Dans ce refactoring, la logique d'authentification dans system_factory_restore.php a été correctement désactivée, mais le type d'authentification approprié, ADMIN_AUTH_LAN_ALL, n'a pas été ajouté à component_config.php, ce qui a entraîné la vulnérabilité. Le même refactoring a supprimé la logique d'authentification d'autres fichiers et a ajouté correctement le type d'authentification approprié au fichier component_config.php ».
« Le fournisseur qui commente l'authentification dans le point de terminaison de restauration du système ne donne vraiment pas une bonne image de lui », a déclaré Moore, expert en sécurité et PDG de la plateforme de découverte de réseaux Rumble. « C'est comme s'ils avaient intentionnellement activé le contournement ». Tant que les acteurs de la menace pouvaient déterminer les paramètres corrects du point de terminaison, ils pouvaient effectuer un déclenchement massif de réinitialisations d'usine sur les appareils du monde entier.
Pourquoi les attaquants ont-ils pris le contrôle des appareils pour les réinitialiser ensuite ?
Si les pirates ont utilisé la vulnérabilité de type "zero-day" pour réinitialiser les appareils, il semble que des activités malveillantes aient eu lieu bien avant cela. D'après les recherches menées par Abdine, les acteurs de la menace ont exploité en masse la vulnérabilité d'exécution de code à distance 2018 CVE-2018-18472 pour infecter les appareils My Book Live exposés publiquement et les ajouter à un botnet. En utilisant la vulnérabilité, les acteurs de la menace exécutaient une commande sur les périphériques qui téléchargeait un script depuis un site distant et l'exécutait, comme illustré ci-dessous.
L'une des charges utiles vues par un utilisateur affecté a été téléchargée sur VirusTotal, où DrWeb la détecte comme une variante de Linux.Ngioweb.27, un botnet Linux connu qui cible les appareils IdO. Une autre charge utile a également été vue dans les attaques, mais la famille de logiciels malveillants à laquelle elle appartient n’a pas été déterminée.
Une fois enrôlés dans le botnet, les acteurs de la menace pourraient utiliser à distance les appareils My Book Live pour potentiellement effectuer des attaques DDoS, attaquer d'autres appareils, exécuter des commandes ou même voler des fichiers. Les cybercriminels protégeant également par mot de passe divers scripts afin d'éviter que les appareils ne soient pris en charge par des botnets rivaux ou d'autres acteurs de la menace. Cependant, Western Digital a aussi dit dans la mise à jour de son communiqué :
« Nous avons examiné les fichiers journaux que nous avons reçus des clients concernés pour comprendre et caractériser l'attaque. Les fichiers journaux que nous avons examinés montrent que les attaquants se sont directement connectés aux appareils My Book Live concernés à partir d'une variété d'adresses IP dans différents pays. Notre enquête montre que dans certains cas, le même attaquant a exploité les deux vulnérabilités sur l'appareil, comme en témoigne l'IP source. La première vulnérabilité a été exploitée pour installer un binaire malveillant sur l'appareil, et la seconde a été exploitée ultérieurement pour réinitialiser l'appareil ».
Mais la question demeure cependant de savoir pourquoi les pirates informatiques ont décidé d’effectuer une réinitialisation massive à l’état usine des appareils qu’ils contrôlaient déjà. Abdine de Censys pense que les effacements massifs effectués à l'aide du zero-day pourraient être une tentative d'un autre acteur de la menace ou d'un concurrent du botnet de réinitialiser l'appareil afin d'en prendre le contrôle.
« En ce qui concerne le motif du POSTing sur ce point de terminaison à une échelle massive, il est inconnu, mais il pourrait s'agir d'une tentative d'un opérateur de botnet rival de prendre le contrôle de ces appareils ou de les rendre inutiles (il est probable que le nom d'utilisateur et le mot de passe soient réinitialisés à leur valeur par défaut d'admin/admin, ce qui permet à un autre attaquant de prendre le contrôle), ou quelqu'un qui voulait perturber autrement le botnet qui existe probablement depuis un certain temps, puisque ces problèmes existent depuis 2015 », a expliqué Abdine.
Cette théorie est logique, étant donné la nature concurrente des exploits utilisés. Les appareils IdO grand public sont une denrée précieuse dans le monde de la cybercriminalité, car ils permettent aux acteurs de la menace de mener des attaques tout en passant inaperçus. Comme les appareils IdO n'ont pas beaucoup de signaux externes pour indiquer qu'ils ont été trafiqués, les acteurs de la menace peuvent les utiliser dans le cadre de leurs campagnes malveillantes pendant longtemps sans être détectés.
Pour l'instant, les utilisateurs doivent empêcher l'accès public à leurs appareils My Book Live et ne les utiliser que sur leur réseau local ou derrière un VPN, recommande Abdine. Toutefois, la mise à jour de Western Digital comprend également un plan d'aide aux propriétaires de My Book Live. En effet, la société fournira des services de récupération des données et proposera un programme de reprise qui permettra aux clients d'obtenir un appareil bénéficiant actuellement d'un support logiciel.
Sources : Western Digital, Censys
Et vous ?
Quel commentaire faites-vous à ce sujet ? Selon WD, le même attaquant a pris le contrôle des appareils et les a réinitialisés ensuite. Quel commentaire en faites-vous ? Que pensez-vous de la théorie de Censys ?Voir aussi :
Avast et la gendarmerie française mettent fin à l'activité du botnet Retadup et désinfectent 850 000 ordinateurs, qui ont été utilisés pour miner de la cryptomonnaie FritzFrog infecte des millions de serveurs dans le monde. Considéré comme un botnet P2P de nouvelle génération, il est difficile à détecter et à supprimer puisqu'il ne dispose pas de serveur C&C Western Digital annonce la commercialisation de ses disques durs Gold EAMR de 16 To et 18 To, avec un MTBF de 2,5 millions d'heures Le gouvernement japonais prévoit de pirater les dispositifs IoT des citoyens, pour aider à les sécuriser avant les Jeux Olympiques 2020 au Japon