 Les NAS Western Digital de la gamme My Cloud avaient été épinglés en fin d'année 2016 pour la présence de nombreuses failles de sécurité critiques. Informé dès le départ de cette situation, le constructeur avait mis de longs mois avant de proposer des correctifs au printemps 2017 puis une autre série de patchs en fin d'année dernière.
Plus récemment, en septembre 2018, la société hollandaise Securify, spécialisée dans la recherche de vulnérabilités, a dévoilé que les NAS WD My Cloud contenaient toujours une faille de sécurité critique qui permettait à n'importe qui d'outrepasser le mécanisme d'authentification pour s'identifier comme administrateur grâce à un cookie falsifié et ainsi d'obtenir le control total du NAS et des données stockées.
Cette nouvelle faille de type Authentication bypass aurait en fait été découverte en avril 2017 et WD aurait immédiatement été averti sans pour autant avoir répondu à Securify ni avoir apporté la moindre correction depuis tout ce temps. La faille a finalement été rendue publique le 18 septembre 2018 et publiée dans la base de données CVE sous la référence CVE-2018-17153.
L'affaire ayant immédiatement pris de l'ampleur dans la presse, la réaction de Western Digital n'a finalement pas tardé cette fois avec la publication d'un communiqué de presse indiquant que tout allait être mis en œuvre pour corriger la vulnérabilité dès que possible. La correction n'a finalement pas pris beaucoup de temps à Western Digital puisque dès le 21 septembre 2018 soit 48 heures après, un firmware correctif pour le système d'exploitation My Cloud OS 3 était déjà disponible pour les NAS My Cloud. Il s'agit de la version 2.30.196 pour les tous derniers modèles et de la version 2.11.178 pour les NAS un peu plus anciens.
Mieux vaut tard que jamais mais il est vraiment regrettable que Western Digital attende toujours d'être mis sous pression avant d'agir et de sécuriser ses produits. Cet épisode semble toutefois avoir fait réfléchir Western Digital puisque quelques semaines après avoir publié ces mises à jour pour la vulnérabilité CVE-2018-17153, le constructeur revient déjà à la charge avec une nouvelle mise à jour qui semble renforcer considérablement la sécurité des NAS My Cloud.
Ce nouveau firmware est le 2.31.149 et se destine uniquement aux NAS My Cloud 2.x, Mirror Gen 2, EX2 Ultra, DL2100, DL4100, EX2100, EX4100, PR2100 et PR4100. Les notes de version affirment en effet qu'une bonne dizaine de failles supplémentaires ont été corrigées dont certaines permettaient d'injecter des commandes, de lancer des attaques par déni de service ou encore d'intercepter les clics de l'utilisateur dans l'interface. Mais ce n'est pas tout puisque plusieurs modules importants (Apache, PHP, OpenSSH, OpenSSL...) ont été actualisés ce qui apporte sans doute, par un effet de cascade, des dizaines voire des centaines de corrections de failles en plus.
Bref, l'application de ce nouveau firmware correctif 2.31.149 daté du 18/10/2018 semble plus urgente que jamais ! Espérons qu'un correctif équivalent soit bientôt proposé pour les autres modèles plus anciens.
Téléchargement du firmware My Cloud OS 3 2.31.149
Téléchargement du firmware My Cloud OS 3 2.11.178
|
Modérateur TLD
|
|
Actualités
16/04/24 Le logiciel Portable SSD Software tire sa révérence pour les SSD USB Samsung
17/04/24 NVIDIA GeForce 700/800/900/10/16/20/30/40/NVS/Quadro/RTX Production Branch 550.76
17/04/24 Insta360 Studio 2024 5.1.0
17/04/24 HAVIT Magic Eagle HV-MS1038 Programmable Gaming Mouse 1.0
17/04/24 Fractal Audio FM9 Amp Modeler/FX Processor 7.00
17/04/24 Creative Stage SE mini 1.0.0.6
17/04/24 Nikon D780 1.11
17/04/24 Mountain Base Camp 1.8.4
17/04/24 Mevo Wireless Camera 0.8.2.15.1 bêta
17/04/24 Microsoft Surface Studio 2 22000 24.021.10492.0 WHQL
