ATTENTION ! Certains NAS WD My Book rencontrent de très sérieux soucis...

lgrnr

Chevalier Jedi
31 Juillet 2017
246
13
18
Utilisateurs(trices) de NAS WD My Book prenez soin de vos données...
Voici, pour information, l'annonce de ce 24/06/2021 faite par "BleepingComputer.com" qui est un site de publications d'actualités technologiques.


BleepingComputer.com a dit:
"WD My Book NAS devices are being remotely wiped clean worldwide
June 24, 2021
[...] Western Digital told BleepingComputer that they are actively investigating the attacks but do not believe it was a compromise of their servers.
They believe that attacks were conducted after some of the My Book owners had their accounts compromised.
Western Digital a dit:
"Western Digital has determined that some My Book Live devices are being compromised by malicious software. In some cases, this compromise has led to a factory reset that appears to erase all data on the device. [...] At this time, we recommend you disconnect your My Book Live from the Internet to protect your data on the device. We are actively investigating and we will provide updates to this thread when they are available." -Western Digital-
Source : Lawrence Abrams, Bleeping Computer, 24/06/2021 [Click here...]
Traduction Anglais/Français par le service "Google Traduction"
[Lien]

BleepingComputer.com a dit:
"Les appareils NAS WD My Book sont effacés à distance dans le monde entier.
24 juin 2021
[...] Western Digital a déclaré à BleepingComputer qu'ils enquêtaient activement sur les attaques mais ne pensaient pas qu'il s'agissait d'une compromission de leurs serveurs.
Ils pensent que des attaques ont été menées après que certains des propriétaires de My Book aient vu leurs comptes compromis.

Western Digital a dit:
"Western Digital a déterminé que certains appareils My Book Live sont compromis par des logiciels malveillants. Dans certains cas, cette compromission a conduit à une réinitialisation d'usine qui semble effacer toutes les données de l'appareil. [...] Pour le moment, nous vous recommandons de déconnecter votre My Book Live d'Internet pour protéger vos données sur l'appareil. Nous enquêtons activement et nous fournirons des mises à jour de ce fil dès qu'elles seront disponibles." -Western Digital-
Source : Lawrence Abrams, Bleeping Computer, 24/06/2021 [Cliquez ici...]
Ça craint... :eek:
 
Voici l'information fournie sur le site Internet du constructeur Western Digital ce 24/06/2021:

Western Digital a dit:
"Support | Product Security
Recommended Security Measures for WD My Book Live and WD My Book Live Duo

WDC Tracking Number: WDC-21008
Product Line: WD My Book Live and WD My Book Live Duo
Published: June 24, 2021

Last Updated: June 24, 2021

Description
Western Digital has determined that some My Book Live and My Book Live Duo devices are being compromised through exploitation of a remote command execution vulnerability. In some cases, this compromise has led to a factory reset that appears to erase all data on the device. The My Book Live and My Book Live Duo devices received its final firmware update in 2015. We understand that our customers’ data is very important. We are actively investigating the issue and will provide an updated advisory when we have more information.
Advisory Summary

At this time, we recommend you disconnect your My Book Live and My Book Live Duo from the Internet to protect your data on the device.

CVE Number: CVE-2018-18472"


Source : Western Digital [Click here...]

Traduction Anglais/Français par le service "Google Traduction"
[Lien]


Western Digital a dit:
"Support | Sécurité Produits
Mesures de sécurité recommandées pour WD My Book Live et WD My Book Live Duo

Numéro de suivi WDC : WDC-21008
Gamme de produits : WD My Book Live et WD My Book Live Duo
Publié: 24 juin 2021

Dernière mise à jour : 24 juin 2021

Description
Western Digital a déterminé que certains appareils My Book Live et My Book Live Duo sont compromis par l'exploitation d'une vulnérabilité d'exécution de commande à distance. Dans certains cas, ce compromis a conduit à une réinitialisation d'usine qui semble effacer toutes les données de l'appareil. Les appareils My Book Live et My Book Live Duo ont reçu leur dernière mise à jour du firmware en 2015. Nous comprenons que les données de nos clients sont très importantes. Nous enquêtons activement sur le problème et fournirons un avis mis à jour lorsque nous aurons plus d'informations.
Résumé consultatif

À ce stade, nous vous recommandons de déconnecter votre My Book Live et My Book Live Duo d'Internet pour protéger vos données sur l'appareil.

Numéro CVE : CVE-2018-18472"


Source : Western Digital [Cliquez ici...]
:eek:
 
Article de nextinpact: https://www.inpact-hardware.com/article/2542/faille-critique-sur-nas-my-book-live-duo-wd-attention-a-perte-donnees
 
Article de Cachem : https://www.cachem.fr/piratage-des-nas-wd-my-book-live/

Avec des solutions pour essayer de récupéré ce qui est recuperable. ..
 
Voici l'information complémentaire de ce 29/06/2021
fournie par le constructeur Western Digital :


Western Digital a dit:
"Support | Product Security
Recommended Security Measures for WD My Book Live and WD My Book Live Duo

WDC Tracking Number: WDC-21008
Product Line: WD My Book Live and WD My Book Live Duo
Published: June 24, 2021

Last Updated: June 29, 2021

Western Digital has determined that Internet-connected My Book Live and My Book Live Duo devices are under attack by exploitation of multiple vulnerabilities present in the device. In some cases, the attackers have triggered a factory reset that appears to erase all data on the device.


Data Recovery and Product Trade-In Programs
To help customers who have lost data as a result of these attacks, Western Digital will provide data recovery services, which will be available beginning in July. My Book Live customers will also be offered a trade-in program to upgrade to a supported My Cloud device.

Analysis of Newly Identified Vulnerability CVE-2021-35941
The My Book Live firmware is vulnerable to a remotely exploitable command injection vulnerability when the device has remote access enabled. This vulnerability may be exploited to run arbitrary commands with root privileges. Additionally, the My Book Live is vulnerable to an unauthenticated factory reset operation which allows an attacker to factory reset the device without authentication. The unauthenticated factory reset vulnerability been assigned CVE-2021-35941.

We have heard concerns about the nature of this vulnerability and are sharing technical details to address these questions. We have determined that the unauthenticated factory reset vulnerability was introduced to the My Book Live in April of 2011 as part of a refactor of authentication logic in the device firmware. The refactor centralized the authentication logic into a single file, which is present on the device as
includes/component_config.php and contains the authentication type required by each endpoint. In this refactor, the authentication logic in system_factory_restore.php was correctly disabled, but the appropriate authentication type of ADMIN_AUTH_LAN_ALL was not added to component_config.php, resulting in the vulnerability. The same refactor removed authentication logic from other files and correctly added the appropriate authentication type to the component_config.php file.

Analysis of the Attack
We have reviewed log files which we have received from affected customers to understand and characterize the attack. The log files we reviewed show that the attackers directly connected to the affected My Book Live devices from a variety of IP addresses in different countries. Our investigation shows that in some cases, the same attacker exploited both vulnerabilities on the device, as evidenced by the source IP. The first vulnerability was exploited to install a malicious binary on the device, and the second vulnerability was later exploited to reset the device.

On some devices, the attackers installed a trojan with a file named
.nttpd,1-ppc-be-t1-z, which is a Linux ELF binary compiled for the PowerPC architecture used by the My Book Live and Live Duo. A sample of this trojan has been captured for further analysis and it has been uploaded to VirusTotal.

Our investigation of this incident has not uncovered any evidence that Western Digital cloud services, firmware update servers, or customer credentials were compromised. As the My Book Live devices can be directly exposed to the internet through port forwarding, the attackers may be able to discover vulnerable devices through port scanning. The vulnerabilities being exploited in this attack are limited to the My Book Live series, which was introduced to the market in 2010 and received a final firmware update in 2015. These vulnerabilities do not affect our current My Cloud product family.


Advisory Summary
Immediately disconnect your My Book Live and My Book Live Duo from the Internet to protect your data from ongoing attacks.

For customers who have lost data as a result of these attacks, Western Digital will provide data recovery services. My Book Live users will also be offered a trade-in program to upgrade to a supported My Cloud device. Both programs will be available beginning in July,
and details on how to take advantage of these programs will be made available in a separate announcement.

CVE Numbers: CVE-2018-18472 and CVE-2021-35941"


Source : Western Digital [Click here...]
Traduction Anglais/Français par le service "Google Traduction"
[Lien]

Western Digital a dit:
"Support | Sécurité Produits
Mesures de sécurité recommandées pour WD My Book Live et WD My Book Live Duo

Numéro de suivi WDC : WDC-21008
Gamme de produits : WD My Book Live et WD My Book Live Duo
Publié: 24 juin 2021

Dernière mise à jour : 29 juin 2021

Western Digital a déterminé que les appareils My Book Live et My Book Live Duo connectés à Internet sont attaqués par l'exploitation de plusieurs vulnérabilités présentes dans l'appareil. Dans certains cas, les attaquants ont déclenché une réinitialisation d'usine qui semble effacer toutes les données de l'appareil.


Programmes de récupération de données et d'échange de produits
Pour aider les clients qui ont perdu des données à la suite de ces attaques, Western Digital fournira des services de récupération de données, qui seront disponibles à partir de juillet. Les clients My Book Live se verront également proposer un programme d'échange pour passer à un appareil My Cloud pris en charge.

Analyse de la vulnérabilité nouvellement identifiée CVE-2021-35941
Le micrologiciel My Book Live est vulnérable à une vulnérabilité d'injection de commande exploitable à distance lorsque l'accès à distance est activé sur l'appareil. Cette vulnérabilité peut être exploitée pour exécuter des commandes arbitraires avec les privilèges root. De plus, le My Book Live est vulnérable à une opération de réinitialisation d'usine non authentifiée qui permet à un attaquant de réinitialiser l'appareil aux paramètres d'usine sans authentification. La vulnérabilité de réinitialisation d'usine non authentifiée a été assignée CVE-2021-35941.

Nous avons entendu des préoccupations quant à la nature de cette vulnérabilité et partageons des détails techniques pour répondre à ces questions. Nous avons déterminé que la vulnérabilité de réinitialisation d'usine non authentifiée a été introduite dans le My Book Live en avril 2011 dans le cadre d'un refactoring de la logique d'authentification dans le micrologiciel de l'appareil. Le refactor a centralisé la logique d'authentification dans un seul fichier, qui est présent sur l'appareil en tant que
include/component_config.php et contient le type d'authentification requis par chaque point de terminaison. Dans ce refactoring, la logique d'authentification dans system_factory_restore.php a été correctement désactivée, mais le type d'authentification approprié de ADMIN_AUTH_LAN_ALL n'a pas été ajouté à component_config.php, ce qui a entraîné la vulnérabilité. Le même refactor a supprimé la logique d'authentification des autres fichiers et a correctement ajouté le type d'authentification approprié au fichier component_config.php.

Analyse de l'attaque
Nous avons examiné les fichiers journaux que nous avons reçus des clients concernés pour comprendre et caractériser l'attaque. Les fichiers journaux que nous avons examinés montrent que les attaquants se sont directement connectés aux appareils My Book Live concernés à partir d'une variété d'adresses IP dans différents pays. Notre enquête montre que dans certains cas, le même attaquant a exploité les deux vulnérabilités sur l'appareil, comme en témoigne l'IP source. La première vulnérabilité a été exploitée pour installer un binaire malveillant sur l'appareil, et la seconde vulnérabilité a ensuite été exploitée pour réinitialiser l'appareil.

Sur certains appareils, les attaquants ont installé un cheval de Troie avec un fichier nommé
.nttpd,1-ppc-be-t1-z, qui est un binaire Linux ELF compilé pour l'architecture PowerPC utilisée par My Book Live et Live Duo. Un échantillon de ce cheval de Troie a été capturé pour une analyse plus approfondie et il a été téléchargé sur VirusTotal.

Notre enquête sur cet incident n'a révélé aucune preuve que les services cloud Western Digital, les serveurs de mise à jour du micrologiciel ou les informations d'identification des clients aient été compromis. Étant donné que les appareils My Book Live peuvent être directement exposés à Internet via la redirection de port, les attaquants peuvent être en mesure de découvrir les appareils vulnérables grâce à l'analyse des ports. Les vulnérabilités exploitées dans cette attaque sont limitées à la série My Book Live, qui a été lancée sur le marché en 2010 et a reçu une dernière mise à jour du firmware en 2015. Ces vulnérabilités n'affectent pas notre famille de produits My Cloud actuelle.


Résumé consultatif
Déconnectez immédiatement votre My Book Live et My Book Live Duo d'Internet pour protéger vos données des attaques en cours.

Pour les clients qui ont perdu des données à la suite de ces attaques, Western Digital fournira des services de récupération de données. Les utilisateurs de My Book Live se verront également proposer un programme d'échange pour passer à un appareil My Cloud pris en charge. Les deux programmes seront disponibles à partir de juillet,
et les détails sur la façon de profiter de ces programmes seront disponibles dans une annonce distincte.

CVE Numbers: CVE-2018-18472 and CVE-2021-35941"


Source : Western Digital [Cliquer ici...]
QUESTION :
Pourrait-il être imaginé que le constructeur Western Digital proposerait ainsi "des services de récupération de données" dans le courant du mois de juillet "Pour les clients qui ont perdu des données à la suite de ces attaques" en indiquant que "Les utilisateurs de My Book Live se verront également proposer un programme d'échange pour passer à un appareil My Cloud pris en charge" ceci afin d'éviter une éventuelle "Class Action" qui, aux U.S.A., est la procédure de recours collectif privilégiée par les américains mécontents et revendicatifs?
(La question reste posée...)
 
Voici des informations complémentaires, en date du 29/06/2021,
provenant du site BleepingComputer.com au sujet de ce sérieux problème...


BleepingComputer.com a dit:
"Hackers use zero-day to mass-wipe My Book Live devices
[...]
Western Digital had originally told BleepingComputer that the attacks were being conducted through a 2018 vulnerability tracked as CVE-2018-18472, which was not fixed as the device has been out of support since 2015.
It turns out that while threat actors used this vulnerability in attacks against My Book Live devices, it was actually a different zero-day vulnerability responsible for the factory resets.
[...]
In the aptly named
system_factory_restore script in the My Book Live's firmware, the authentication checks were commented out, making it possible for anyone with access to the device to perform a factory reset.
[...]
Consumer IoT devices are a valuable commodity in the world of cybercrime as they allow threat actors to perform attacks while remaining unnoticed.
As IoT devices do not have many external signals to indicate that they have been tampered with, threat actors can use them as part of their malicious campaigns for a long time without being detected.
For now, users should prevent their My Book Live devices from being publicly accessible
and only use them on their local network or behind a VPN.
[...]"

Source : Lawrence Abrams, Bleeping Computer, 29/06/2021 [Click here...]

Traduction Anglais/Français par le service "Google Traduction"
[Lien]
BleepingComputer.com a dit:
"Des Hackers utilisent une vulnérabilité zero-day pour effacer en masse les appareils My Book Live
[...]
Western Digital avait initialement déclaré à BleepingComputer que les attaques étaient menées via une vulnérabilité de 2018 identifiée comme CVE-2018-18472 , qui n'a pas été corrigée car l'appareil n'est plus pris en charge depuis 2015.
Il s'avère que bien que les acteurs de la menace aient utilisé cette vulnérabilité dans les attaques contre les appareils My Book Live, il s'agissait en fait d'une autre vulnérabilité zero-day responsable des réinitialisations d'usine.
[...]
Dans le script bien nommé
system_factory_restore du firmware du My Book Live, les vérifications d'authentification ont été commentées, permettant à toute personne ayant accès à l'appareil d'effectuer une réinitialisation d'usine.
[...]
Les appareils IoT grand public sont des biens précieux dans le monde de la cybercriminalité, car ils permettent aux acteurs de la menace d'effectuer des attaques tout en restant inaperçus.
Comme les appareils IoT n'ont pas beaucoup de signaux externes pour indiquer qu'ils ont été falsifiés, les acteurs malveillants peuvent les utiliser dans le cadre de leurs campagnes malveillantes pendant longtemps sans être détectés.
Pour l'instant, les utilisateurs doivent empêcher leurs appareils My Book Live d'être accessibles au public
et ne les utiliser que sur leur réseau local ou derrière un VPN.
[...]"

Source : Lawrence Abrams, Bleeping Computer, 29/06/2021 [Cliquer ici...]

Pour celles et ceux qui seraient intéressé(e)s par l'ensemble de l'article, qui vaut le détour soit dit en passant, l'article complet du 29/06/2021 de Lawrence Abrams est consultable sur le site BleepingComputer.com à cette adresse-ci [Cliquez là...]
 
Voici, pour ceux qui auraient été impactés, les informations complémentaires qui ont été fournies le 06/07/2021 par le constructeur Western Digital:

Western Digital a dit:
"Support | Product Security
Recommended Security Measures for WD My Book Live and WD My Book Live Duo

WDC Tracking Number: WDC-21008
Product Line: WD My Book Live and WD My Book Live Duo
Published: June 24, 2021

Last Updated: July 6, 2021

Western Digital has determined that Internet-connected My Book Live and My Book Live Duo devices are under attack by exploitation of multiple vulnerabilities present in the device. In some cases, the attackers have triggered a factory reset that appears to erase all data on the device.


Data Recovery and Product Trade-In Programs
Western Digital is offering a data recovery service program to help customers who have lost data as a result of these attacks. My Book Live customers are also offered a trade-in program to upgrade to a supported My Cloud device. You can find more details on these programs by following the links below:
>> My Book Live and My Book Live Duo: Data Recovery Service Offer
>> My Book Live and My Book Live Duo: Trade-In Offer
[...]"

Source : Western Digital [Click here...]
Traduction Anglais/Français par le service "Google Traduction"
[Lien]

Western Digital a dit:
"Support | Sécurité Produits
Mesures de sécurité recommandées pour WD My Book Live et WD My Book Live Duo

Numéro de suivi WDC : WDC-21008
Gamme de produits : WD My Book Live et WD My Book Live Duo
Publié: 24 juin 2021

Dernière mise à jour : 6 juillet 2021

Western Digital a déterminé que les appareils My Book Live et My Book Live Duo connectés à Internet sont attaqués par l'exploitation de plusieurs vulnérabilités présentes dans l'appareil. Dans certains cas, les attaquants ont déclenché une réinitialisation d'usine qui semble effacer toutes les données de l'appareil.


Programmes de récupération de données et d'échange de produits
Western Digital propose un programme de service de récupération de données pour aider les clients qui ont perdu des données à la suite de ces attaques. Les clients My Book Live se voient également proposer un programme d'échange pour passer à un appareil My Cloud pris en charge. Vous pouvez trouver plus de détails sur ces programmes en suivant les liens ci-dessous:
>> My Book Live et My Book Live Duo: Offre de service de récupération de données
>> My Book Live et My Book Live Duo: Offre de reprise
[...]"

Source : Western Digital [Cliquez ici...]
(Quand la vie numérique n'est pas du tout "un long fleuve tranquille"...)