Attaque sur les NAS WD : du zero-day dans l’affaire

WD My Book Live faille

Les réinitialisations d’usine survenues ces derniers jours sur des NAS WD My Book Live impliquent deux failles, dont une inconnue jusque-là.

Comment expliquer les réinitialisations d’usine inopinées que de nombreux NAS WD My Book ont subies ces derniers jours ? On avait d’abord attribué le problème à une faille connue depuis plusieurs années*. L’enquête du fabricant en a révélé une deuxième, passée jusque-là sous les radars.

Dans les grandes lignes, la première de ces vulnérabilités (CVE-2018-18472) a permis l’injection de code à distance. Cela s’est traduit, par l’installation d’un cheval de Troie sur « certains appareils » parmi ceux exposés à Internet.

La seconde (CVE-2021-35941) a permis d’enclencher le script de réinitialisation. Son introduction dans les NAS My Book Live remonte à avril 2011. En cause, une erreur de configuration survenue lors de la refonte du système d’authentification.

WD promet de fournir, en juillet, des services de récupération de données. Et d’ouvrir un programme d’échange pour favoriser la migration des utilisateurs concernés vers les produits My Cloud, successeurs des My Book Live. En attendant, la principale recommandation ne change pas : déconnecter d’Internet les NAS susceptibles d’être attaqués.

* WD n’avait pas corrigé cette faille située dans une API. Ses NAS My Book Live avaient atteint leur fin de vie depuis plusieurs années (dernière mise à jour du firmware : 2015).

Photo d’illustration © WD