 Fin 2016 et début 2017, des experts en sécurité ont révélé la présence d'un grand nombre de vulnérabilités dans le système d'exploitation My Cloud OS 3 qui équipe les NAS Western Digital de la famille My Cloud. Western Digital avait réagi et relativisé quelque peu les choses avant de publier de nouveaux firmwares corrigés au mois d'avril pour l'ensemble des produits affectés. Ces failles, présentes essentiellement dans des scripts PHP du tableau de bord, permettaient d'envoyer des commandes au NAS, d'y écrire des fichiers et même de lire des fichiers sans disposer d'aucune permission utilisateur et sans s'identifier.
Nous constatons qu'un nouveau firmware 2.30.172 est disponible depuis la mi novembre 2017 pour la majorité des NAS My Cloud comme les séries DL, EX et PR. D'après ses release notes, il est encore question de corriger des failles de sécurité et en particulier la CVE-2017-7494 qui affecte le serveur de partage de fichiers Samba présent sur les systèmes de type UNIX/Linux et que l'on connaît mieux sous le terme SMB (ou CIFS) sous Windows.
Cette faille permet à un utilisateur malintentionné d'envoyer des fichiers vers un dossier partagé sur lequel il possède l'autorisation d'écrire puis de faire exécuter ce code malveillant par le NAS en tant que root. Avec un score CVSS de 7,5, cette faille CVE-2017-7494 est considérée comme présentant un risque élevé (mais non critique).
Le correctif pour cette vulnérabilité a été mis au point depuis le mois de mai 2017. Il n'aura donc fallu que six mois à Western Digital pour l'intégrer dans sa distribution Linux maison My Cloud OS... A noter que plusieurs autres vulnérabilités ont été depuis découvertes dans Samba dont deux encore aujourd'hui. Espérons que Western Digital sera plus rapide à les prendre en compte !
Par ailleurs, ce firmware 2.30.172 pour les NAS My Cloud corrige plusieurs failles critiques qui permettent potentiellement d'effacer des fichiers, d'envoyer des commandes au NAS et d'outrepasser le mécanisme d'authentification. Le constructeur ne donne pas plus de détails mais on peut penser qu'il s'agit des vulnérabilités supplémentaires dévoilées cet été toujours par le site Exploitee.rs.
Bref, nous vous conseillons vivement d'appliquer dès que possible cette mise à jour logicielle même si elle n'apporte pas de fonctionnalités ou d'autres corrections particulières hormis un accès au cloud amélioré.
Pour le moment, seuls les NAS My Cloud de dernière génération bénéficient de ce patch à l'exception de l'EX2 Ultra qui a été oublié pour le moment. On peut penser que ce firmware sera disponible dans quelques jours pour les modèles plus anciens (EX2, EX4, Mirror Gen 1) si on se réfère à ce qui s'était passé au printemps.
Téléchargement du firmware My Cloud OS 3 2.30.172
|
Modérateur TLD
|
|
Actualités
16/04/24 Le logiciel Portable SSD Software tire sa révérence pour les SSD USB Samsung
19/04/24 Elgato Control Center 1.6.0.536
18/04/24 Logitech G HUB 2024.3.3733
18/04/24 JVC KY-PZ200 1.1.57
18/04/24 SIGMA 150-600mm F5-6.3 DG DN OS | Sports Sony E-Mount 56389566 04
