Attention : des NAS Western Digital My Book sont effacés à distance !
En voilà une bien mauvaise surprise pour terminer la semaine ! Des propriétaires de NAS Western Digital My Book ont retrouvé leur NAS réinitialisé avec ses paramètres par défaut et sans aucune donnée ! Que s'est-il passé ?
Pour rappel, les NAS WD My Book sont de petits boîtiers verticaux que l'on peut utiliser pour stocker ses données. Ensuite, on peut accéder à ses données depuis son réseau local, mais aussi à distance par l'intermédiaire de l'interface Western Digital My Book Live. Pour rendre l'accès distant simplifié, les NAS sont connectés aux serveurs Cloud de chez Western Digital.
À l'échelle mondiale, de nombreux utilisateurs ont eu une mauvaise surprise : leur NAS a été réinitialisé dans sa configuration par défaut et ils ne parviennent plus à s'authentifier sur le boîtier. Le boîtier indique que le mot de passe est invalide, même si l'on essaie le mot de passe par défaut du NAS. Les données ne sont plus là non plus.
Certains utilisateurs ont mené des investigations de leur côté, notamment au niveau des logs du NAS. Visiblement, l'équipement a reçu une commande à distance pour exécuter une réinitialisation complète :
"I have found this in user.log of this drive today:
Jun 23 15:14:05 My BookLive factoryRestore.sh: begin script:
Jun 23 15:14:05 My BookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26 My BookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29 My BookLive _: pkg: wd-nas
Jun 23 16:02:30 My BookLive _: pkg: networking-general
Jun 23 16:02:30 My BookLive _: pkg: apache-php-webdav
Jun 23 16:02:31 My BookLive _: pkg: date-time
Jun 23 16:02:31 My BookLive _: pkg: alerts
Jun 23 16:02:31 My BookLive logger: hostname=My BookLive
Jun 23 16:02:32 My BookLive _: pkg: admin-rest-api
I believe this is the culprit of why this happens…No one was even home to use this drive at this time…"
Ce que l'on peut penser, c'est que des pirates sont parvenus à prendre la main sur un serveur de chez Western Digital pour ensuite exécuter des commandes à distances sur certains NAS. Néanmoins, Western Digital ne semble pas croire à cette piste-là pour le moment, mais une enquête est en cours. Le fabricant pense plutôt que ce sont les comptes des utilisateurs concernés qui sont compromis.
Il ne faut pas oublier, et d'ailleurs Western Digital l'a rappelé, que les NAS Western Digital My Book Live n'ont plus reçu de mise à jour du firmware depuis 2015.
Si vous avez un boîtier Western Digital My Book chez vous, il est fortement recommandé de lui empêcher l'accès à Internet et surtout l'accès distant.