Les pirates utilisent une faille Zero-Day pour réinitialiser les NAS WD My Book Live

La semaine dernière, de nombreux utilisateurs de NAS Western Digital My Book Live ont eu la mauvaise surprise de retrouver leur boîtier réinitialisé et sans aucune donnée. Nous en savons désormais un peu plus sur le sujet : les pirates utilisent une faille Zero-Day qui permet une réinitialisation à distance. 

En regardant les journaux du NAS, des utilisateurs ont pu trouver les traces de l'exécution d'un script nommé "factoryRestore.sh". Suite à la réinitialisation du NAS, la configuration est remise à zéro, les données sont effacées, et il n'est plus possible de se connecter au boîtier, car le mot de passe administrateur est modifié également.

Jun 23 15:14:05 My BookLive factoryRestore.sh: begin script:
Jun 23 15:14:05 My BookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26 My BookLive S15mountDataVolume.sh: begin script: start

Une zero-day et surtout une grosse erreur de développement

Dans un premier temps, Western Digital pensait que la faille de sécurité CVE-2018-18472 avait été exploitée pour mener ces attaques. Elle date de 2018 et n'est pas corrigée, car les boîtiers ne sont plus sous support depuis 2015.

En fait, les pirates ont peut-être utilisé cette vulnérabilité pour mener ces attaques contre les appareils My Book Live, mais c'est une autre vulnérabilité de type Zero-Day qui a permis d'effectuer une réinitialisation d'usine des NAS. Derek Abdine, CTO de Censys, affirme que le dernier firmware des appareils My Book Live contient une faille Zero Day qui permet une réinitialisation à distance sur tous les appareils connectés à Internet.

D'après les investigations menées par certains chercheurs en sécurité, il y aurait un gros loupé dans le dernier firmware des NAS My Book Live. En effet, dans le code source, les contrôles d'authentification ont été commentés, ce qui permet à toute personne ayant accès à l'appareil d'effectuer une réinitialisation d'usine, sans même s'authentifier sur l'interface d'administration. Surprenant de la part d'un développeur de chez Western Digital !

La faille CVE-2018-18472 exploitée par un Botnet

Il s'avère que la vulnérabilité CVE-2018-18472 est exploitée par les attaquants pour prendre le contrôle des NAS My Book Live. Cette fois-ci, il n'est pas question de réinitialiser le boîtier, mais de prendre le contrôle du NAS pour l'ajouter à un Botnet. Certains utilisateurs ont pu découvrir des traces d'une variante du malware Linux.Ngioweb.27, un Botnet Linux connu pour s'attaquer aux périphériques IoT.

Une fois que le malware est en place, les hackers peuvent récupérer les données sur le NAS, attaquer d'autres NAS à partir de celui-ci, mais aussi effectuer des attaques DDoS.

En résumé, si vous avez un boîtier Western Digital My Book Live chez vous : empêchez-le d'accéder à Internet (et cela pour toujours). Pour l'accès distant à votre boîtier, privilégier un accès VPN.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 3118 articlesVoir toutes les publications de cet auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.