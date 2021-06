Un nombre important de propriétaires de NAS Western Digital My Book Live signalent que leurs disques ont été totalement effacés. Cela a été fait à distance par des attaquants inconnus…

La société a confirmé que les attaques se produisent et a conseillé aux propriétaires de déconnecter immédiatement leurs disques d’Internet.

Les journaux suggèrent qu’un script est en cours d’exécution qui demande au lecteur d’effectuer une réinitialisation d’usine, en effaçant toutes les données.

Les propriétaires de Western Digital My Book NAS du monde entier ont découvert que leurs appareils avaient été mystérieusement réinitialisés en usine et que tous leurs fichiers avaient été supprimés […] Aujourd’hui, les propriétaires de WD My Book du monde entier ont soudainement découvert que tous leurs fichiers avaient été mystérieusement supprimés et qu’ils ne pouvaient plus se connecter à l’appareil via un navigateur ou une application. Lorsqu’ils ont tenté de se connecter via le tableau de bord Web, l’appareil a déclaré qu’ils avaient un « mot de passe non valide ». « J’ai un WD My Book live connecté à mon réseau local et j’ai bien fonctionné pendant des années. Je viens de découvrir que, d’une manière ou d’une autre, toutes les données y ont disparu aujourd’hui, alors que les répertoires semblent là mais vides. Auparavant, le volume 2T était presque plein, mais il affiche maintenant sa pleine capacité [free]», a déclaré un propriétaire de WD My Book sur les forums de la communauté numérique occidentale.

Certains utilisateurs espéraient que les données pourraient être intactes et simplement que le logiciel de gestion de lecteur ne pourrait plus les voir, mais l’utilisation de SSH montre que tous les fichiers et répertoires ont disparu.

Les journaux système affichent un script en cours d’exécution qui réinitialise les lecteurs.

23 juin 15:14:05 My BookLive factoryRestore.sh : début du script :

23 juin 15:14:05 Arrêt de My BookLive[24582]: arrêt pour redémarrage du système

23 juin 16:02:26 My BookLive S15mountDataVolume.sh : début du script : début

23 juin 16:02:29 My BookLive : pkg: wd-nas 23 juin 16:02:30 My BookLive : pkg: networking-general

23 juin 16:02:30 My BookLive : pkg: apache-php-webdav 23 juin 16:02:31 My BookLive : pkg: date-heure

23 juin 16:02:31 My BookLive : pkg: alertes 23 juin 16:02:31 My BookLive logger: hostname=My BookLive 23 juin 16:02:32 My BookLive : pkg: admin-rest-api

Une telle attaque ne devrait pas être possible, car les disques sont derrière un pare-feu, l’accès à distance n’étant censé être autorisé via les serveurs cloud My Book Live de l’entreprise qu’après authentification de l’utilisateur. Western Digital dit qu’il “ne croit pas” que ses serveurs ont été compromis, même si cela semble l’explication évidente. Une autre possibilité est que les pirates aient obtenu les identifiants de connexion d’un autre site Web, car de nombreuses personnes continuent de réutiliser les mots de passe malgré tous les avertissements de ne pas le faire.

Pour l’instant, WD recommande de débrancher le câble Ethernet.

Western Digital a déterminé que certains appareils My Book Live sont compromis par des logiciels malveillants. Dans certains cas, ce compromis a conduit à une réinitialisation d’usine qui semble effacer toutes les données de l’appareil. L’appareil My Book Live a reçu sa dernière mise à jour du firmware en 2015. Nous comprenons que les données de nos clients sont très importantes. À ce stade, nous vous recommandons de déconnecter votre My Book Live d’Internet pour protéger vos données sur l’appareil. Nous enquêtons activement et nous fournirons des mises à jour de ce fil lorsqu’elles seront disponibles.

Personnellement, jusqu’à ce que nous en sachions plus sur cette faille de sécurité, je ferais de même avec n’importe quel produit NAS Western Digital.

