NAS-systemen van Western Digital zijn via een bug kwetsbaar voor misbruik door hackers. Die kunnen systemen overnemen. Een patch is beschikbaar.
Western Digital My Cloud NAS-toestellen zijn vatbaar voor een kritieke kwetsbaarheid. CVE-2025-30247 laat aanvallers toe om code te injecteren en een systeem vanop afstand over te nemen. Dat kan door speciale HTTP POST-requests te sturen naar kwetsbare systemen. Een succesvolle aanval laat een hacker toe om een systeem aan te passen, data te stelen of ransomware in te zetten.
Dringende patch
Western Digital heeft met firmware-versie 5.31.108 een patch gelost. Gebruikers moeten die meteen installeren. Alle vorige firmware-versies bevatten de bug. Volgende toestellen zijn kwetsbaar tot de update is geïmplementeerd:
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX4100
- My Cloud EX2 Ultra
- My Cloud Mirror Gen 2
- My Cloud DL2100
- My Cloud EX2100
- My Cloud DL4100
- My Cloud WDBCTLxxxxxx-10
Hoewel Western Digital de My Cloud DL4100 en DL2100 expliciet vermeldt, worden die officieel niet meer ondersteund. Het is onduidelijk of er voor deze bug een uitzondering wordt gemaakt. Voor toestellen die geen ondersteuning meer genieten, is het altijd belangrijk ze af te schermen van het internet.
Western Digital is de update zelf sinds 23 september aan het uitrollen naar klanten die automatische updates hebben ingeschakeld. Het is een goed idee om even te controleren welke firmwareversie een toestel effectief draait. Firmware manueel updaten kan ook via de website van Western Digital. Een reboot is in ieder geval noodzakelijk.