Si vous avez un disque de stockage Western Digital My Cloud, songez rapidement à en acheter un autre. Et en attendant, ne le rendez pas accessible sur Internet. En effet, le support en sécurité fourni par le fabricant est déplorable et ces équipements sont une invitation pour les pirates à venir fouiller dans vos données. Depuis plus d’un an, les chercheurs en sécurité de Securify et Exploitee.rs ont alerté Western Digital sur l’existence d’une faille critique dans ses équipements, mais la société n’a jamais rien fait pour y remédier. Et ce alors que cette faille est très facile à exploiter. Un module d’exploitation a même déjà été écrit pour Metasploit, la célèbre plateforme de tests d’intrusion.
We contacted WD about the same vuln and even publicly disclosed it at DEFCON 25 last year (as well as the https://t.co/CdqUCdgpCq wiki). Western Digital refused to acknowledge or fix the finding, so I went as far as to write a @metasploit module for it. https://t.co/oeOxsWeTo4
— Exploitee.rs (@Exploiteers) September 18, 2018
Cette faille est liée à une mauvaise gestion des cookies de session et permet de contourner l’authentification à la console d’administration du disque de stockage. Quelques lignes de code suffisent pour prendre le contrôle de la machine à distance en tant qu’administrateur, comme on peut le voir dans cette animation.
Ce manque de professionnalisme de Western Digital n’est pas très étonnant. Le fabricant est régulièrement épinglé pour ses multiples de failles de sécurité. En 2016, Il avait reçu un « Pwnie Award » dans la catégorie « Réponse fournisseur la plus bancale ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
