Failles de sécurité et porte dérobée sur la gamme MyCloud de Western Digital

Une porte dérobée, codée en dur, et plusieurs failles de sécurité permettent à de potentiels attaquants un accès administrateur aux disques durs connectés de la gamme MyCloud.

Ces disques durs sont vendus partout, très distribués, et donc énormément populaires chez les particuliers, les artisans, et les toutes petites entreprises. Ce sont des NAS (Network Attached Storage), ils permettent donc de partager des fichiers sur un réseau personnel, mais aussi de les rendre accessibles depuis l’extérieur, et d’effectuer des sauvegardes sur différents services de Cloud.

L’équipe de recherches et développement de GulfTech détaille sur leur site (http://gulftech.org/advisories/WDMyCloud%20Multiple%20Vulnerabilities/125) les différentes failles pouvant permettre l’injection de code, et ainsi le téléchargement des fichiers présents sur l’appareil. L’équipe en question prévient Western Digital au moment même de la découverte en juin 2017. L’entreprise demandera alors aux chercheurs de leur accorder 3 mois avant de révéler ces brèches. Elles auront été publiées le 3 janvier par GulfTech, soit près de 6 mois après la découverte. Et lors de cette publication, ces failles n’étaient toujours pas comblées.

L’attaque profitant des failles est relativement simple, puisqu’il suffit d’envoyer au NAS une requête POST contenant un fichier en PHP. Quant à la porte dérobée, et bien c’est encore plus simple, puisqu’il suffit juste de la connaitre. En tentant une connexion avec le nom d’utilisateur « mydlinckBRionyg » et le mot de passe « abcd123456dcba » (sic !), n’importe qui peut avoir plein accès au MyCloud.

Déjà en mars dernier, un membre de l’équipe Exploitee.rs avait découvert plusieurs failles permettant l’injection de commandes. Et les gars de GulfTech en ont découvert d’autres également. Et même sans parler d’injections, il y a des « défauts » très graves dans la conception logicielle du produit. Par exemple, n’importe quel utilisateur arrivant sur la page de login de l’interface web, peut changer la langue par défaut de tout le NAS. En automatisant cette action, et en la réalisant à grande échelle, il est ainsi possible de créer un DDOS sur la machine, la fameuse attaque par dénis de service.

Vous voulez une autre faille ?

Pas de soucis, en voici une, il est possible de récupérer la liste exhaustive des utilisateurs du disque. Mais, sans être connecté… comment ? Par une procédure compliquée ? Absolument pas, il suffit juste d’envoyer cette requête au serveur web : « GET /api/2.1.1/rests/users? http/1.1 »

Alors est-ce que vous êtes touché ? Ça dépend de votre matériel et de la version de son micro progiciel. Les modèles affectés sont les :

. My Cloud Gen 2

. My Cloud PR2100

. My Cloud PR4100

. My Cloud EX2 Ultra

. My Cloud EX2

. My Cloud EX4

. My Cloud EX2100

. My Cloud EX4100

. My Cloud DL2100

. My Cloud DL4100

Tous dans la version inférieure à 2.30.165. On vous encourage donc plus que fortement à checker si une mise à jour est disponible pour votre NAS.

NB : les logins, mots de passe, et URL cités ici et servant à l’utilisation des failles comportent tous une erreur volontaire de notre part.