Компания Western Digital выпустила обновления прошивки для нескольких моделей сетевых хранилищ My Cloud, устраняющие критическую уязвимость, которая может быть использована удаленно для выполнения произвольных системных команд.
Уязвимость, отслеживаемая как CVE-2025-30247, представляет собой инъекцию команд ОС в пользовательском интерфейсе My Cloud и может быть использован через специально созданные HTTP POST-запросы, отправленные на уязвимые устройства.
Об уязвимости сообщил в Western Digital исследователь безопасности под псевдонимом w1th0ut. Производитель устройств хранения данных выпустил версию прошивки 5.31.108 для устранения проблемы, которая затрагивает все предыдущие версии для следующих моделей:
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX4100
- My Cloud EX2 Ultra
- My Cloud Mirror Gen 2
- My Cloud DL2100
- My Cloud EX2100
- My Cloud DL4100
- My Cloud WDBCTLxxxxxx-10
Стоит отметить, что два из этих устройств, My Cloud DL4100 и My Cloud DL2100, достигли окончания поддержки (EoS) и обновления могут быть недоступны, так как совет по безопасности от компании не предусматривает мер по смягчению последствий для продуктов EoS.
My Cloud – это сетевое хранилище данных (NAS) компании Western Digitals, которое обычно используется малыми предприятиями, домашними офисами и частными лицами, желающими хранить данные в персональном «облаке» и получать к ним доступ с любого устройства.
Хотя они не предназначены для использования в критически важных или корпоративных средах, они популярны среди широкой потребительской аудитории, поскольку обеспечивают легкий Удаленный доступ к файлам через мобильные приложения или Браузеры, потоковое воспроизведение мультимедиа и автоматическое Резервное копирование.
Эксплуатация CVE-2025-30247 для запуска команд оболочки может привести к несанкционированному доступу к файлам, их модификации, удалению, перечислению пользователей, изменению конфигурации или даже выполнению двоичных файлов.
В прошлом Хакеры использовали подобные недостатки в устройствах NAS для сбора конфиденциальных данных, создания ботнетов, использования их в качестве прокси-серверов или развертывания программ-вымогателей с последующим вымогательством у пользователей.
Пользователям My Cloud следует как можно скорее установить исправление до версии 5.31.108. Если немедленные действия невозможны, пользователям рекомендуется отключить устройство от сети до тех пор, пока они не смогут применить обновление.
Даже в автономном режиме устройства My Cloud могут работать в качестве локальных центров хранения данных в режиме LAN, однако файлы, хранящиеся на облачном сервисе Western Digital, будут недоступны.
Пользователи, включившие автоматическое обновление в настройках своих устройств, должны были получить обновление еще 23 сентября 2025 года. Рекомендуется проверить наличие последней версии.
Обновление можно выполнить вручную (инструкция здесь), найдя нужный образ прошивки для вашей модели устройства здесь, а затем перейдя в Настройки >> Обновление прошивки >> Обновить из файла >> выбрать загруженный BIN-файл.
Для того чтобы обновление вступило в силу, потребуется перезагрузка устройства, а во избежание повреждения данных устройство должно оставаться подключенным к сети.