Ancien Firmware, Western Digital bloque l’accès My Cloud

Western Digital fait parler de lui en raison de problèmes de sécurité. Depuis plusieurs jours des nouvelles mesures de sécurité sont déployées par le constructeur autour de ses solutions My Cloud.

Des utilisateurs de ses produits ont eu la très désagréable surprise de constater que leurs accès aux services cloud avaient été bloqué. Il ne s’agit pas d’un bug mais d’une décision de Western Digital si leurs appareils ne disposent pas du dernier firmware disponible à savoir

• version 5.26.202 (My Cloud),
• version 9.4.1-101 (My Cloud Home, SanDisk ibi).

L’accès a été et reste interdit depuis le 15 juin 2023. Cette mesure a été mise en œuvre afin d’empêcher des pirates d’exploiter plusieurs vulnérabilités. WD semble optimiser ses protections suite à l’importante cyberattaque dont il a été victime en mars dernier du moins son service My Cloud.

Selon le dernier bulletin de sécurité de WD

Les appareils sur un micrologiciel inférieur à 5.26.202 ne pourront pas se connecter aux services cloud Western Digital à partir du 15 juin 2023, et les utilisateurs ne pourront pas accéder aux données de leur appareil via mycloud.com et l’application mobile My Cloud OS 5 jusqu’à ce qu’ils mettent à jour l’appareil avec le dernier micrologiciel. Les utilisateurs peuvent continuer à accéder à leurs données via l’accès local.

Voici la liste des derniers micrologiciels disposant des correctifs nécessaires.

• My Cloud PR2100 – 5.26.202 ou version ultérieure
• My Cloud PR4100 – 5.26.202 ou version ultérieure
• My Cloud EX4100 – 5.26.202 ou version ultérieure
• My Cloud EX2 Ultra – 5.26.202 ou version ultérieure
• My Cloud Mirror G2 – 5.26.202 ou version ultérieure
• My Cloud DL2100 – 5.26.202 ou version ultérieure
• My Cloud DL4100 – 5.26.202 ou version ultérieure
• My Cloud EX2100 – 5.26.202 ou version ultérieure
• My Cloud – 5.26.202 ou version ultérieure
• WD Cloud – 5.26.202 ou version ultérieure
• My Cloud Home – 9.4.1-101 ou version ultérieure
• My Cloud Home Duo – 9.4.1-101 ou version ultérieure
• SanDisk ibi – 9.4.1-101 ou version ultérieure

Dans le détails ils corrigent les vulnérabilités

1. CVE-2022-36327 > Autorise à un pirate d’écrire des fichiers dans des emplacements arbitraires du système de fichiers, ce qui entraîne l’exécution de code à distance non authentifiée (contournement de l’authentification) sur les appareils My Cloud.
2. CVE-2022-36326 > problème de consommation de ressources incontrôlée déclenché par des requêtes spécialement conçues envoyées à des appareils vulnérables, provoquant une perte de service.
3. CVE-2022-36328 > Autorise à un pirate authentifié de créer des partages arbitraires sur des répertoires arbitraires et d’exfiltrer des fichiers, mots de passe,
4. CVE-2022-29840 > Vulnérabilité SSRF (Server-Side Request Forgery)