Western Digital 近期修補了旗下 My Cloud 網路儲存設備(NAS)韌體中的重大漏洞 CVE-2025-30247。此漏洞允許遠端攻擊者無需驗證身分就能執行任意系統指令。考量漏洞嚴重性,該公司強烈建議使用者立即更新韌體。
漏洞危害性極高,可導致裝置完全被控制
CVE-2025-30247 是一個作業系統指令注入(OS Command Injection)漏洞,位於 My Cloud 韌體的使用者介面中。攻擊者只需透過特製的 HTTP POST 請求,即可利用此漏洞在目標裝置上執行任意系統指令。
根據 CVSS 評分,攻擊者無需身分驗證或使用者互動就能發動攻擊。一旦成功入侵,駭客能完全控制受害裝置,並可存取、加密、刪除或修改裝置上的所有資料。更嚴重的是,被入侵的 NAS 裝置可作為攻擊者滲透同網路其他系統的跳板。過去案例顯示,駭客常利用 NAS 裝置的類似漏洞竊取敏感資料、建立殭屍網路、架設代理伺服器,或部署勒索軟體進行勒索。
此漏洞由化名「w1th0ut」的資安研究人員私下向 Western Digital 回報,目前尚無證據顯示該漏洞已在實際環境中被利用。
Western Digital 已於 9 月 23 日釋出 v5.31.108 韌體版本修補此問題,並表示,為確保安全防護,強烈建議使用者收到更新通知時立即更新裝置。已開啟自動韌體更新功能的裝置,只要保持連線和開機狀態,應該已自動完成升級。不過,使用者仍應主動檢查裝置是否已更新至最新版本。
受影響的My Cloud裝置
此漏洞影響 v5.31.108 之前版本的 My Cloud 韌體,受影響的裝置型號包括:
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX2 Ultra
- My Cloud EX4100
- My Cloud Mirror Gen 2
- My Cloud EX2100
- My Cloud DL2100
- My Cloud DL4100
- My Cloud WDBCTLxxxxxx-10
- My Cloud
值得注意的是,My Cloud DL4100 和 My Cloud DL2100 這兩款裝置已停止支援(EoS),使用者無法取得安全更新。目前,Western Digital 安全公告中並未針對這些終止支援的產品提供任何防護措施。
Western Digital 的 My Cloud 裝置主要為家庭和小型企業使用者設計,提供檔案儲存功能,並可透過行動應用程式或網頁瀏覽器存取內容。在小型辦公室環境中,這類裝置常作為備份伺服器或專案檔案的集中儲存位置。
雖然這些裝置並非針對關鍵任務或企業環境設計,但由於提供便捷的遠端檔案存取、媒體串流和自動備份功能,在一般消費者中廣受歡迎。
本文轉載自 BleepingComputer、HelpNetSecurity。