- Western Digital выпустила обновления прошивки для моделей NAS My Cloud из-за критической уязвимости CVE-2025-30247.
- Уязвимость позволяла удалённо выполнять произвольные системные команды через специально сформированные HTTP POST-запросы.
- Пользователям советуют срочно установить обновление или отключить устройства от сети до апдейта.
Компания Western Digital оперативно отреагировала на обнаруженную критическую уязвимость в сетевых накопителях My Cloud, выпустив обновления прошивки версии 5.31.108 для ряда моделей. Уязвимость, обозначенная как CVE-2025-30247, позволяет злоумышленникам внедрять команды операционной системы через пользовательский интерфейс устройства, используя специально созданные HTTP POST-запросы. Это создает угрозу несанкционированного доступа к файлам, их изменения, удаления и даже выполнения произвольных двоичных кодов.
Перечень затронутых моделей включает My Cloud PR2100, PR4100, EX4100, EX2 Ultra, Mirror Gen 2, DL2100, EX2100, DL4100 и WDBCTLxxxxxx-10. Стоит отметить, что некоторые из этих устройств, например DL2100 и DL4100, вышли из стадии поддержки (EoS), и их обновления могут быть недоступны. Тем не менее, пользователям рекомендуется обновить прошивку как можно скорее, чтобы обезопасить хранение данных.
My Cloud — популярное сетевое хранилище, ориентированное на малый бизнес и домашних пользователей, которые ценят удобство потоковой передачи мультимедиа и автоматическое резервное копирование. Несмотря на то что эти устройства не предназначены для критически важных корпоративных систем, выявленная уязвимость представляет серьёзную угрозу безопасности. В прошлом аналогичные дыры использовали злоумышленники для сбора конфиденциальной информации, создания ботнетов и запуска программ-вымогателей.
Для установки обновления пользователям необходимо загрузить соответствующий образ прошивки с официального сайта Western Digital, зайти в настройки устройства и выполнить обновление ПО из файла, после чего произвести перезагрузку. Если обновление выполнимо не сразу, рекомендуется временно отключить устройство от сети, оставив его доступным локально, чтобы снизить риски удалённого взлома.
Данная ситуация подчёркивает важность своевременного обновления программного обеспечения сетевых устройств хранения данных для предотвращения эксплуатации уязвимостей. Аналогичный инцидент в 2024 году произошёл с компанией D-Link, которая отказалась исправлять критическую уязвимость в старых NAS-устройствах, затронувшую десятки тысяч клиентов, что вызвало обеспокоенность в сообществе специалистов по информационной безопасности.
