Celah Kritis WD My Cloud Izinkan Remote Command Injection

Western Digital (WD) merilis pembaruan firmware untuk berbagai model My Cloud NAS guna menambal kerentanan kritis yang memungkinkan penyerang mengeksekusi perintah sistem jarak jauh.

Kerentanan ini dilacak dengan kode CVE-2025-30247 dan merupakan celah OS command injection pada antarmuka pengguna My Cloud. Eksploitasi bisa dilakukan melalui HTTP POST request berbahaya yang dikirim ke endpoint rentan.

Model Perangkat yang Terpengaruh

Semua versi firmware sebelum 5.31.108 terdampak, mencakup model:

• My Cloud PR2100
• My Cloud PR4100
• My Cloud EX4100
• My Cloud EX2 Ultra
• My Cloud Mirror Gen 2
• My Cloud DL2100
• My Cloud EX2100
• My Cloud DL4100
• My Cloud WDBCTLxxxxxx-10

Perlu dicatat, My Cloud DL4100 dan My Cloud DL2100 telah mencapai status end of support (EoS), sehingga kemungkinan tidak akan mendapat perbaikan resmi.

Dampak Eksploitasi

Jika berhasil dieksploitasi, kerentanan ini dapat dimanfaatkan untuk:

• Mengakses, mengubah, atau menghapus file tanpa izin
• Melakukan enumerasi pengguna
• Mengubah konfigurasi perangkat
• Mengeksekusi biner berbahaya
• Menyalahgunakan perangkat untuk botnet, proxy, hingga serangan ransomware

Kasus serupa sebelumnya pernah dimanfaatkan peretas untuk mencuri data sensitif dari perangkat NAS konsumen.

Rekomendasi Tindakan

• Segera perbarui firmware ke versi 5.31.108.
• Jika pembaruan belum bisa dilakukan, disarankan untuk memutuskan perangkat dari internet sementara waktu dan hanya menggunakannya dalam mode LAN offline.
• Pengguna dengan update otomatis seharusnya sudah menerima patch sejak 23 September 2025, namun tetap dianjurkan untuk memverifikasi versi firmware.
• Untuk pembaruan manual, pengguna bisa mengunduh file firmware sesuai model perangkat, lalu masuk ke Settings > Firmware Update > Update From File, pilih file BIN, dan lakukan reboot. Pastikan perangkat tetap menyala selama proses agar tidak terjadi kerusakan data.

Dengan tingkat risiko tinggi, pengguna My Cloud disarankan tidak menunda proses pembaruan untuk mencegah potensi penyalahgunaan perangkat.

Sumber: BleepingComputer