Actualités

MyBook Live et MyBook Live Duo : Western Digital confirme une exécution de code à distance qui supprime toutes les données ! (ça ne “Rest” pas…)

Le fabricant vient de publier un communiqué : depuis, officiellement, le 24 Juin 2021, Western Digital informe les détenteurs de ces solutions de stockage physiques qu’une vulnérabilité peut potentiellement effacer de manière permanente les données inscrites en dur…

 

 

Western Digital a déterminé que certains appareils My Book Live et My Book Live Duo sont compromis par l’exploitation d’une vulnérabilité d’exécution de commande à distance. Dans certains cas, ce compromis a conduit à une réinitialisation d’usine qui semble effacer toutes les données de l’appareil. Les appareils My Book Live et My Book Live Duo ont reçu leur dernière mise à jour du firmware en 2015. Nous comprenons que les données de nos clients sont très importantes. Nous enquêtons activement sur le problème et fournirons un avis mis à jour lorsque nous aurons plus d’informations“, est-il brièvement expliqué, tout en faisant référence, à la vulnérabilité CVE-2018-18472.

Combinée avec une autre vulnérabilité de l’époque (CVE-2018-18471, qui ciblait NetGear, Seagate et Medion), les solutions NAS de Western Digital MyCloud et MyBook Live – toujours à l’époque : quelques 2 millions de dispositifs – permettait une prise en main à distante en privilège-accès root. La viralité prenait son sein depuis une fonction permettant de modifier ou changer le langage via l’API Rest.

Depuis Juin 2021, cette vulnérabilité semble résider dans ces paramètres de langues (/api/1.0/rest/language_configuration) depuis les “métacaractères du Shell” et il suffirait qu’un cyber-attaquant connaisse l’adresse IP du terminal ainsi ciblé pour effectuer l’attaque RCE (Remote Command Exécution – Exécution de Commande à Distance) qui réside, pour l’heure et en attendant les retours du fabricant, exploitable dans la nature. Dans cette attente, bon nombre d’utilisateur sur le forum de dépannage communautaire WD tentent de remédier à ce problème sécuritaire plus que problématique… A veiller !

 

 

Source : Western Digital – 24 Juin 2021 – MyBook Live, MyBook Duo : vulnérabilité de 2018-2019 exploitable dans la nature.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0