Avez-vous un NAS numérique occidental ? Il est donc bon de rester à l’écoute : o Exploitee.rs, un groupe de spécialistes de la sécurité, affirme que presque tous les produits actuels de la gamme My Cloud présentent de très graves vulnérabilités. Le pire, c’est que le principal d’entre eux a été réparé, mais cette réparation s’est également accompagnée d’un échec.
Pour prouver le problème, l’équipe de Exploitee.rs a utilisé un NAS My Cloud Pro Series PR4100. Les failles se trouvent essentiellement dans les scripts mal mis en œuvre. Grâce à eux, la société a pu accéder au disque à distance en utilisant certaines commandes de l’interface web.
Le problème est vraiment grave : le système finit par permettre un accès à distance sans connexion, ce qui permet à l’attaquant non seulement de capturer des fichiers qui devraient être protégés, mais aussi de modifier des données ou d’utiliser l’équipement pour stocker des logiciels malveillants, par exemple.
Western Digital a publié une mise à jour du micrologiciel qui corrige la vulnérabilité qui permet à l’attaquant d’accéder au disque en sautant l’étape de connexion. Toutefois, ce correctif comporte également un bogue qui donne un accès non autorisé au système.
Selon o Exploitee.rs, parmi les équipements vulnérables se trouvent les modèles suivants :
Dans de telles circonstances, l’idéal est que le groupe informe l’entreprise responsable, attende la publication des corrections et ne révèle le problème qu’ensuite. Ainsi, les utilisateurs qui n’ont pas encore mis à jour l’équipement peuvent le faire immédiatement.
Cependant, o Exploitee.rs déclare avoir fait la divulgation à l’avance pour faire pression sur Western Digital afin qu’il publie les corrections le plus rapidement possible. Selon l’équipe qui a étudié les défauts, le fabricant ne traite généralement pas les questions de sécurité avec l’importance qu’elles méritent.
Western Digital ne s’est pas encore prononcé sur la question.
