Western Digital выпустила обновления прошивки для нескольких моделей сетевых накопителей NAS My Cloud, чтобы устранить критическую уязвимость. Её можно было использовать удалённо для выполнения произвольных системных команд.
Уязвимость, известная как CVE-2025-30247, представляет собой внедрение команд ОС в пользовательский интерфейс My Cloud и может быть использована посредством специально созданных HTTP-запросов POST, отправляемых на уязвимые конечные точки.
Об ней сообщил исследователь безопасности, использующий псевдоним «w1th0ut». Производитель устройств хранения данных выпустил версию прошивки 5.31.108 для решения проблемы, затрагивающей все предыдущие версии моделей:
My Cloud PR2100,
My Cloud PR4100,
My Cloud EX4100,
My Cloud EX2 Ultra,
My Cloud Mirror Gen 2,
My Cloud DL2100,
My Cloud EX2100,
My Cloud DL4100,
My Cloud WDBCTLxxxxxx-10.
Стоит отметить, что поддержка (EoS) двух устройств, My Cloud DL4100 и My Cloud DL2100, уже прекращена, и обновления могут быть недоступны.
My Cloud — это сетевое хранилище данных (NAS) от Western Digital, которое обычно используется малыми предприятиями, домашними офисами и частными лицами.
Хотя они не предназначаются для использования критически важных или корпоративных сред, но популярны среди широкой аудитории потребителей, обеспечивая потоковую передачу мультимедиа и автоматическое резервное копирование. При этом эксплуатация CVE-2025-30247 может привести к несанкционированному доступу к файлам, их изменению, удалению и даже выполнению двоичных кодов.
В прошлом хакеры задействовали аналогичные уязвимости на устройствах NAS для сбора конфиденциальных данных, создания ботнетов, использования их в качестве прокси-серверов или развёртывания программ-вымогателей.
Чтобы установить обновление, нужно загрузить правильный образ прошивки для устройства здесь, перейти в «Настройки» > «Обновление прошивки» > «Обновить из файла» > выбрать загруженный BIN-файл. Затем потребуется перезагрузить устройство, а само оно должно оставаться подключённым к сети на протяжении всего процесса.
Пользователям My Cloud следует как можно скорее установить исправление, либо отключить устройство от сети до апдейта. Даже в автономном режиме устройства My Cloud могут работать как локальные хранилища, но файлы, хранящиеся в облачном сервисе Western Digital, будут недоступны.
Между тем D-Link в 2024 году заявила, что не будет исправлять критическую уязвимость, которая затрагивает более 60 тысяч старых сетевых устройств хранения данных. Она позволяла внедрять команды с помощью общедоступного эксплойта.
Источник: habr.com