شرکت Western Digital بهروزرسانیهای امنیتی جدیدی برای چندین مدل از دستگاههای ذخیرهسازی شبکهای (NAS) سری WD My Cloud منتشر کرده که یک آسیبپذیری بحرانی را برطرف میکند؛ با سوءاستفاده از این باگ، مهاجمان میتوانند فرمانهای دلخواه سیستم را از راه دور اجرا کنند.
جزئیات آسیبپذیری WD My Cloud
این نقص امنیتی که با شناسهی CVE-2025-30247 ردیابی میشود، از نوع OS Command Injection در رابط کاربری وب My Cloud است. مهاجم میتواند با ارسال درخواستهای خاص HTTP POST به نقاط آسیبپذیر سیستم، کنترل کامل بر روی دستگاه هدف را بهدست بگیرد.
این آسیبپذیری ابتدا توسط یک پژوهشگر امنیتی با نام مستعار “w1th0ut” گزارش شد و Western Digital برای رفع آن نسخهی فریمور 5.31.108 را منتشر کرده است. تمام نسخههای پیشین در مدلهای زیر تحتتأثیر قرار دارند:
My Cloud PR2100
My Cloud PR4100
My Cloud EX4100
My Cloud EX2 Ultra
My Cloud Mirror Gen 2
My Cloud DL2100
My Cloud EX2100
My Cloud DL4100
My Cloud WDBCTLxxxxxx-10
🔎 توجه: دو مدل DL4100 و DL2100 دیگر پشتیبانی نمیشوند (EoS) و ممکن است هیچ patch امنیتی برای آنها ارائه نشود.
خطرات احتمالی اکسپلویت
سوءاستفاده از CVE-2025-30247 میتواند پیامدهای جدی از جمله موارد زیر را به همراه داشته باشد:
دسترسی غیرمجاز به فایلها
تغییر، حذف یا سرقت دادهها
شمارش کاربران (User Enumeration)
تغییر پیکربندی سیستم
اجرای فایلهای باینری یا بدافزار
📉 در گذشته نیز آسیبپذیریهای مشابه در NASها برای اهدافی مثل ساخت باتنت، سرقت اطلاعات حساس، استفاده بهعنوان پروکسی یا حتی توزیع باجافزار مورد سوءاستفاده قرار گرفتهاند.
توصیههای امنیتی برای کاربران
🔐 کاربران My Cloud باید هرچه سریعتر دستگاه خود را به نسخهی 5.31.108 patch کنند.
اگر انجام فوری این کار ممکن نیست، بهترین راهحل این است که دستگاه را بهطور موقت از اینترنت جدا کنند تا زمان نصب بهروزرسانی فرا برسد.
📌 حتی در حالت آفلاین نیز دستگاه میتواند بهعنوان فضای ذخیرهسازی محلی در LAN Mode کار کند، هرچند که در این حالت دسترسی به فایلهای ذخیرهشده در سرویس ابری Western Digital ممکن نخواهد بود.
نحوهی دریافت و نصب بهروزرسانی
اگر قابلیت Automatic Updates فعال باشد، دستگاه از تاریخ ۲۳ سپتامبر ۲۰۲۵ بهصورت خودکار بهروزرسانی شده است.
برای آپدیت دستی نیز میتوانید فایل فریمور مربوط به مدل خود را از وبسایت رسمی دریافت کرده و از مسیر زیر نصب کنید:
Settings > Firmware Update > Update From File
🔄 پس از نصب، دستگاه باید ریستارت شود و تا پایان فرآیند نباید از برق جدا شود تا از بروز خرابی دادهها جلوگیری گردد.
💡 نتیجهگیری:
با توجه به شدت بالای این آسیبپذیری و محبوبیت دستگاههای My Cloud در محیطهای خانگی و اداری کوچک، patch کردن فوری یا ایزولهکردن دستگاه از شبکه باید در اولویت قرار گیرد.
