نقص امنیتی جدی در WD My Cloud به مهاجمان امکان اجرای دستور از راه دور می‌دهد

شرکت Western Digital به‌روزرسانی‌های firmware را برای چندین مدل از دستگاه‌های ذخیره‌سازی شبکه‌ای (NAS) My Cloud منتشر کرده است تا یک آسیب‌پذیری بحرانی را برطرف کند؛ نقصی که می‌تواند به‌صورت از راه دور مورد سوءاستفاده قرار گیرد و منجر به اجرای دستورات دلخواه در سطح سیستم شود.

این آسیب‌پذیری با شناسه CVE-2025-30247 ثبت شده و یک OS Command Injection در رابط کاربری My Cloud است که از طریق ارسال درخواست‌های HTTP POST ساخته‌شده به‌صورت ویژه به نقاط آسیب‌پذیر، قابل بهره‌برداری است.

این نقص توسط یک پژوهشگر امنیتی با نام مستعار “w1th0ut” به Western Digital گزارش شد. برای رفع این مشکل، شرکت نسخه ۵٫۳۱٫۱۰۸ firmware را منتشر کرده است که تمامی نسخه‌های قبلی در مدل‌های زیر را تحت تأثیر قرار می‌دهد:

• My Cloud PR2100
• My Cloud PR4100
• My Cloud EX4100
• My Cloud EX2 Ultra
• My Cloud Mirror Gen 2
• My Cloud DL2100
• My Cloud EX2100
• My Cloud DL4100
• My Cloud WDBCTLxxxxxx-10

لازم به ذکر است که دو مدل My Cloud DL4100 و My Cloud DL2100 به پایان چرخه پشتیبانی (EoS) رسیده‌اند و براساس توصیه امنیتی شرکت، به‌روزرسانی یا راهکار جایگزینی برای آن‌ها ارائه نشده است.

دستگاه‌های My Cloud به‌عنوان NAS خانگی و اداری کوچک شناخته می‌شوند که امکان ذخیره‌سازی ابری شخصی و دسترسی از راه دور از طریق مرورگر یا اپلیکیشن موبایل را فراهم می‌کنند. هرچند این محصولات برای محیط‌های سازمانی یا بحرانی طراحی نشده‌اند، اما به‌دلیل امکاناتی نظیر پشتیبان‌گیری خودکار، استریم محتوا و دسترسی سریع از راه دور، در میان کاربران خانگی و کسب‌وکارهای کوچک محبوبیت بالایی دارند.

بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجم امکان دسترسی غیرمجاز به فایل‌ها، تغییر یا حذف داده‌ها، شناسایی کاربران، تغییر تنظیمات یا حتی اجرای فایل‌های دودویی (binary execution) را بدهد.

در گذشته نقص‌های مشابه در NASها توسط مهاجمان برای جمع‌آوری داده‌های حساس، ساخت بات‌نت، استفاده به‌عنوان پروکسی یا انتشار باج‌افزار و اخاذی از کاربران مورد سوءاستفاده قرار گرفته است.

به کاربران توصیه می‌شود هرچه سریع‌تر دستگاه خود را به نسخه ۵٫۳۱٫۱۰۸ ارتقا دهند. در صورتی که اعمال فوری به‌روزرسانی امکان‌پذیر نیست، بهتر است دستگاه به‌طور موقت از شبکه اینترنت جدا شود. حتی در این حالت، My Cloud همچنان می‌تواند به‌عنوان ذخیره‌ساز محلی در شبکه LAN مورد استفاده قرار گیرد، هرچند دسترسی به فایل‌ها از طریق سرویس ابری Western Digital امکان‌پذیر نخواهد بود.

کاربرانی که به‌روزرسانی خودکار را فعال کرده‌اند، باید از تاریخ ۲۳ سپتامبر ۲۰۲۵ نسخه جدید را دریافت کرده باشند. در عین حال، توصیه می‌شود نسخه firmware دستگاه بررسی شود تا از نصب آخرین نسخه اطمینان حاصل شود.

برای به‌روزرسانی دستی نیز کاربران می‌توانند فایل firmware متناسب با مدل دستگاه خود را دریافت کرده و از مسیر Settings > Firmware Update > Update From File اقدام کنند. انتخاب فایل BIN دانلودشده و راه‌اندازی مجدد دستگاه پس از نصب برای اعمال تغییرات ضروری است. همچنین لازم است فرآیند به‌روزرسانی بدون قطع برق انجام شود تا از بروز خطا یا خرابی داده جلوگیری گردد.