La CVE-2025-30247 concerne le micrologiciel (firmware) de Western Digital My Cloud (OS 5) antérieur à la version 5.31.108 sur divers modèles de NAS My Cloud (PR2100, PR4100, EX4100, EX2 Ultra, Mirror Gen2, DL2100, EX2100, DL4100 et autres). Western Digital a publié la version de firmware 5.31.108 pour corriger le problème (septembre 2025). Selon les rapports publics, la vulnérabilité est classée comme une injection de commande OS critique au sein de l’interface utilisateur web, qui peut être déclenchée via des requêtes HTTP POST spécialement conçues. Une attaque réussie permet à un acteur distant non authentifié d’accéder à toutes les données stockées, avec la possibilité de les chiffrer, de les supprimer ou de les modifier.

Date	06/10/2025 17:20:15
Informations	Correctif disponible

Résumé technique

Il s’agit d’une vulnérabilité d’injection de commande OS qui permet à un attaquant distant non authentifié d’exécuter des commandes système arbitraires sur les périphériques My Cloud NAS concernés en envoyant des requêtes HTTP POST spécialement conçues vers l’interface web du périphérique. Une exploitation réussie peut conduire à un contrôle total sur les périphériques NAS concernés. Le problème concerne les versions du firmware My Cloud OS5 antérieures à la 5.31.108 ; le firmware fourni par le fabricant 5.31.108 contient le correctif.

Recommandations

1. Appliquer immédiatement le correctif — mettre à jour tous les périphériques My Cloud OS5 concernés vers le firmware 5.31.108 ou une version ultérieure. Coordonner les actions dans tout l’environnement et automatiser si possible.
2. Supprimer l’exposition publique — désactiver la redirection de port ou l’accès distant à l’interface de gestion du périphérique ; si la gestion à distance est nécessaire, placer l’accès derrière un VPN ou un serveur rebond (jump host).
3. Segmentation du réseau et contrôle d’accès — isoler les périphériques NAS sur un VLAN de gestion, limiter l’accès administratif à des hôtes de confiance spécifiques et appliquer des règles de pare-feu restrictives.
4. Limiter l’accès sortant — bloquer ou contrôler strictement les connexions sortantes des périphériques NAS vers des adresses sensibles (ex. services de métadonnées cloud comme 169.254.169.254) et les API de gestion internes pour réduire le risque d’exfiltration ou de mouvement latéral.
5. Surveiller et enquêter — observer les requêtes POST suspectes vers les points de terminaison administratifs, les processus ou les connexions réseau inhabituelles provenant des périphériques NAS, la création de comptes ou de tâches cron imprévues, ou les signes de chiffrement des données. En cas de suspicion de compromission, isoler le périphérique et collecter les preuves forensiques avant toute reconstruction.
6. Sauvegarde et récupération — s’assurer que des sauvegardes hors ligne et testées existent avant la remédiation ; si l’appareil est compromis, effectuer un effacement et une reconstruction à partir de supports fiables après la mise en œuvre du plan de récupération.

[Callforaction-THREAT-Footer]