Dans une annonce officielle, Western Digital indique étudier actuellement les nouvelles révélations concernant la présence de failles de sécurité supplémentaires affectant les NAS de la gamme My Cloud.
En octobre dernier, un chercheur en sécurité indépendant dénommé Steven Campbell avait identifié deux importantes vulnérabilités dans les firmwares My Cloud OS 2.x et 3.x du NAS My Cloud EX2 mais qui touchent en réalité l'ensemble des produits My Cloud. La première se trouve dans le script PHP d'accueil de l'interface web de configuration des NAS (/index.php) et a été identifiée sous la référence CVE-2016-10107. Steven Campbell a observé qu'en supprimant l'identifiant PHPSESSID du cookie de session, on pouvait envoyer des commandes système au NAS via une requête HTTP GET sans pour autant s'authentifier d'où le nom de Login Bypass donné à cette faille.
La seconde faille a, elle, été référencée CVE-2016-10108. Elle autorise une attaque du même type qui consiste là encore à supprimer le PHPSESSID du cookie mais à effectuer ensuite une requête HTTP POST vers le script PHP /web/google_analytics.php avec la commande de son choix sans authentification.
Steven Campbell a immédiatement informé Western Digital de sa découverte qui a finalement proposé deux mois plus tard, les 13 et 20 décembre 2016, un nouveau firmware correctif sous la forme des versions 2.11.157 et 2.21.126 en fonction des modèles. Comme le veut l'usage, l'expert en sécurité a alors dévoilé publiquement l'existence de ces failles en précisant toutefois quelques jours plus tard que seule la CVE-2016-10108 avait effectivement été résolue par le fabricant !
Plus récemment, c'est le site web Exploitee.rs, spécialisé dans le listing des appareils informatiques et multimédia victimes de failles de sécurité plus ou moins graves, qui s'est attaqué au cas des NAS My Cloud. En se basant sur le travail déjà effectué par Steven Campbell, Exploitee.rs a trouvé et aussitôt révélé que ces problèmes de sécurité avec ces produits sont bien plus vastes que ce qui avait été découvert initialement. Ce sont en réalité l'ensemble des pages web faisant appel au script PHP /web/lib/login_checker.php et à la fonction login_check() qui sont impactés par le bug d'identification.
Mais Exploitee.rs va plus loin et révèle de multiples autres exploits découlant directement ou non du bug précédemment cité. Par exemple, il serait possible d'envoyer un fichier n'importe où sur le NAS sans autorisations particulières en faisant pour cela appel au script /web/addons/upload.php. Une autre faille permet au contraire de récupérer des fichiers via le script /web/addons/ftp_download.php et tenez-vous bien, l'appel à la fonction d'authentification est tout simplement commenté dans le code source PHP de ce fichier !
Exploitee.rs donne des dizaines d'autres exemples pour tirer partie des failles de sécurité des NAS My Cloud et leur faire exécuter des commandes à distance. Cela n'a évidemment pas été du goût de Western Digital qui critique sévèrement ce genre de pratiques consistant à dévoiler publiquement des vulnérabilités et leurs exploits détaillés sans en avoir préalablement averti l'auteur. Western Digital encourage et félicite par contre les personnes cherchant et trouvant des vulnérabilités mais ayant une démarche plus responsable comme cela a pu être le cas de Steven Campbell par exemple.
Dans son communiqué, Western Digital promet que toutes les vulnérabilités de type Login Bypass dévoilées par Exploitee.rs seront étudiées et bénéficieront d'un correctif si elles sont confirmées. Ces éventuelles mises à jour sortiront aussi vite que possible sans forcément respecter le cycle de développement habituel.
Le travail risque d'être assez important pour WD mais il ne faut pas non plus l'accabler puisque plusieurs autres fabricants de NAS ont déjà été épinglés ces dernières années pour des vulnérabilités dans leurs produits, le leader Synology compris.
Pour vous prémunir déjà contre la faille initialement identifiée, la CVE-2016-10108, pensez à mettre à jour le firmware de votre NAS My Cloud avec la dernière version de décembre 2016.
Téléchargement des firmwares pour les NAS Western Digital My Cloud
|
Modérateur TLD
|
|