 Nous vous faisions part il y a quelques semaines des problèmes de sécurité détectés par des experts dans le système d'exploitation My Cloud OS des NAS Western Digital de la famille My Cloud. Il s'agit essentiellement de la vulnérabilité Login Bypass qui permet d'interagir avec le NAS sans posséder de permissions particulières c'est à dire d'envoyer des commandes et de récupérer des données par exemple.
Révélées par Steven Campbell à l'automne 2016, une partie de ces failles de sécurité (comme la CVE-2016-10108) étaient corrigées par Western Digital en toute fin d'année dernière grâce à de nouveaux firmwares pour l'ensemble des NAS My Cloud mais le compte n'y était manifestement pas. Le site web Exploitee.rs dénonçait en effet quelques jours plus tard que plusieurs autres scripts PHP utilisés par l'interface restaient vulnérables à ce défaut de contrôle des permissions utilisateur notamment grâce à l'exploit d'un cookie modifié.
Forcé de réagir médiatiquement, Western Digital regrettait que ces vulnérabilités aient été rendues publiques sans en avoir été préalablement averti mais le fabricant promettait alors que toutes les failles découvertes seraient bien corrigées. Effectivement, un nouveau firmware 2.11.163 a bien vu le jour le 20 mars pour les modèles My Cloud EX2, EX4 et Mirror (Gen 1). Ses release notes ne sont malheureusement pas bien fournies puisque WD y indique seulement avoir corrigé des failles de sécurité critiques. On aurait bien aimé savoir lesquelles exactement et surtout si toutes l'ont été.
Par ailleurs, sans doute dans la précipitation pour mettre au point ce firmware 2.11.163 corrigé, Western Digital ne s'est pas aperçu que celui-ci provoquait des dysfonctionnements supplémentaires comme l'impossibilité d'activer/désactiver le programme d'amélioration du produit, de créer des utilisateurs ou des groupes multiples ou encore d'ouvrir un ticket de support technique directement depuis le tableau de bord. Ce firmware 2.11.163 a donc assez vite été retiré du téléchargement et du service de déploiement automatique avant de revenir en fin de semaine dernière dans une toute nouvelle version 2.11.164 qui contient les corrections de sécurité adéquates ainsi que les correctifs aux quelques bugs évoqués.
Pour le moment, seules les références EX2, EX4 et My Cloud Gen 1 bénéficient de ce correctif 2.11.164 mais sachant que l'ensemble des NAS My Cloud sont concernés par ces vulnérabilités (My Cloud, Mirror Gen 2, EX2 Ultra, DL2100/4100, EX2100/4100, PR2100/4100), on ne devrait pas tarder à voir d'autres mises à jour sortir.
Téléchargement du firmware My Cloud OS 3 2.11.164
|
Modérateur TLD
|
|
Actualités
25/04/24 Crucial publie l'ISO du firmware M3CR046 pour certains SSD Crucial MX500
25/04/24 Intel Arc Graphics 101.5445 WHQL
25/04/24 Fujifilm X100VI 1.10
24/04/24 Thermalright Core Vision/Frozen Warframe 1.2.4
24/04/24 Crucial MX500 CD/USB M3CR04x M3CR046
24/04/24 Pioneer DJ DJM-A9 1.04
