🛡 概要
Western Digitalは、複数のMy Cloud NASモデルに対して、リモートから任意のシステムコマンドを実行可能にする重大な脆弱性を修正するファームウェア更新をリリースしました。この脆弱性はCVE-2025-30247として追跡されており、My CloudのユーザーインターフェースにおけるOSコマンドインジェクションが原因です。攻撃者は、特別に作成されたHTTP POSTリクエストを脆弱なエンドポイントに送信することでこの脆弱性を悪用できます。
🔍 技術詳細
CVE-2025-30247は、My Cloudのユーザーインターフェースに存在するOSコマンドインジェクションの脆弱性です。これにより、攻撃者はリモートから任意のコマンドを実行することが可能となります。この脆弱性は、特定のHTTP POSTリクエストを介して悪用され、影響を受けるデバイスの多くが修正を行っていない場合、重大なリスクを伴います。影響を受けるモデルには、My Cloud PR2100、PR4100、EX4100、EX2 Ultra、Mirror Gen 2、DL2100、EX2100、DL4100などが含まれます。これらのデバイスは、特に小規模ビジネスや個人ユーザーに人気がありますが、重要な環境では使用されるべきではありません。
⚠ 影響
CVE-2025-30247の悪用により、攻撃者はシェルコマンドを実行し、ファイルへの不正アクセス、変更、削除、ユーザー列挙、設定変更、さらにはバイナリの実行を行う可能性があります。過去には、ハッカーがNASデバイスの類似の脆弱性を利用して、機密データを収集したり、ボットネットを構築したり、プロキシとして利用したり、ランサムウェアを展開してユーザーを脅迫する事例が報告されています。特にMy Cloud DL4100およびDL2100はサポートが終了しており、これらのデバイスに対する更新が行われない可能性があるため、ユーザーは早急に対策を講じる必要があります。
🛠 対策
My Cloudユーザーは、できるだけ早くファームウェア5.31.108へのパッチ適用を優先するべきです。即時対応が難しい場合は、デバイスをオフラインにすることが推奨されます。オフラインの状態でも、My CloudデバイスはLANモードでローカルストレージセンターとして機能しますが、Western Digitalのクラウドサービスに保存されているファイルにはアクセスできません。自動更新を有効にしているユーザーは、2025年9月23日以降にこの更新を受け取っているはずです。手動更新を行う場合は、デバイスモデルに適したファームウェアイメージをダウンロードし、設定メニューから更新を行います。更新を適用するためには、デバイスの再起動が必要で、データの破損を防ぐために、プロセス中はデバイスが電源に接続されている必要があります。
