Les cyber-escrocs effacent des milliers d'appareils NAS WD grâce à l'exécution de code à distance
Une vulnérabilité zero-day non corrigée a permis aux pirates de déclencher une réinitialisation d'usine sur des milliers de périphériques NAS Western Digital. En conséquence, les propriétaires de My Book Live et My Book Live DUO ont perdu toutes leurs données stockées. L'effacement se serait produit après que les escrocs en jeu ont établi avec succès des connexions directes ou indirectes (via la redirection de port) à chaque appareil concerné à l'aide d'une multitude d'adresses IP choisies au hasard à travers le monde. Alors que les responsables de Western Digital enquêtent actuellement sur le problème, ils ont clairement indiqué que l'attaque ne montrait aucun signe de propagation dans son environnement cloud, son micrologiciel ou ses serveurs de données client. Cependant, ils ont conseillé à tous les propriétaires de NAS My Book Live et My Book Live Duo de détacher leurs appareils du Web jusqu'à la sortie d'un correctif.
Table des matières
Lien potentiel avec un ancien défaut
Le micrologiciel des appareils NAS de WD n'a reçu aucune mise à jour depuis 2015. Trois ans plus tard, un cybergang aurait trouvé une faille de sécurité permettant l'exécution de code à distance sur n'importe quel appareil NAS My Book Live et My Book Live Duo en ligne. Les chercheurs de Western Digital soupçonnent que les auteurs de logiciels malveillants ont probablement analysé le Web à la recherche de périphériques vulnérables et ont trouvé les adresses IP de nombreux appareils My Book Live et My Book Live Duo.
Déposée sous CVE-2018-18472, la faille de sécurité fait actuellement l'objet d'une nouvelle analyse pour voir quels autres dommages elle pourrait entraîner si elle était exploitée par les mauvaises personnes.
Récupération de données à un succès mitigé
Alors que certains des propriétaires de NAS WD concernés ont utilisé avec succès des outils de récupération de données tels que PhotoRec pour récupérer des parties de leurs données, d'autres n'ont pas encore connu un tel succès. Le fabricant américain de lecteurs de données teste actuellement divers outils de récupération de données pour voir ce qui fonctionne et ce qui ne fonctionne pas. Nous devons encore voir à quel point un logiciel alternatif de récupération de données peut s'avérer efficace. Jusque-là, les perspectives de récupération complète des données semblent au mieux rester sombres.
Aucune note de rançon
Même si des milliers de propriétaires de NAS ont subi une perte complète de données, personne n'a reçu de demande de rançon, ce qui implique que l'attaquant a peut-être voulu priver les victimes de leurs fichiers juste pour le plaisir. Western Digital n'a pas non plus signalé de rançon requise. Néanmoins, la menace est réelle, et le dommage est un fait. De plus, la perte de données s'est produite même si les périphériques NAS WD concernés utilisent tous un pare-feu et des canaux de communication sécurisés basés sur le cloud.
Des incidents comme celui-ci soulignent la nécessité d'une approche à plusieurs volets en matière de stockage de données. L'utilisation d'un seul support, qu'il soit basé sur le cloud ou non, peut ne plus suffire pour éviter les pertes potentielles sur toute la ligne. C'est pourquoi nous recommandons des sauvegardes régulières sur plusieurs supports en ligne et hors ligne afin de réduire au minimum le risque de perte de données.