Les systèmes NAS de Western Digital sont vulnérables aux abus des pirates informatiques en raison d’un bug. Ces derniers peuvent prendre le contrôle des systèmes. Un correctif est disponible.
Les appareils NAS My Cloud de Western Digital sont vulnérables à une faille critique. CVE-2025-30247 permet aux attaquants d’injecter du code et de prendre le contrôle d’un système à distance. Cela peut se faire en envoyant des requêtes HTTP POST spéciales aux systèmes vulnérables. Une attaque réussie permet à un pirate de modifier un système, de voler des données ou de déployer des rançongiciels.
Correctif urgent
Western Digital a publié un correctif avec la version 5.31.108 du firmware. Les utilisateurs doivent l’installer immédiatement. Toutes les versions précédentes du firmware contiennent le bug. Les appareils suivants sont vulnérables jusqu’à ce que la mise à jour soit installée :
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX4100
- My Cloud EX2 Ultra
- My Cloud Mirror Gen 2
- My Cloud DL2100
- My Cloud EX2100
- My Cloud DL4100
- My Cloud WDBCTLxxxxxx-10
Bien que Western Digital mentionne explicitement les My Cloud DL4100 et DL2100, ceux-ci ne sont officiellement plus pris en charge. Il n’est pas clair si une exception sera faite pour ce bug. Pour les appareils qui ne bénéficient plus de support, il est toujours important de les isoler d’Internet.
Western Digital déploie elle-même la mise à jour depuis le 23 septembre pour les clients ayant activé les mises à jour automatiques. Il est conseillé de vérifier quelle version du firmware est effectivement installée sur l’appareil. La mise à jour manuelle du firmware est également possible via le site web de Western Digital. Un redémarrage est dans tous les cas nécessaire.