Western Digital hat eine kritische Sicherheitslücke in My Cloud-NAS-Systemen geschlossen. Die Schwachstelle CVE-2025-30247 erlaubte unter bestimmten Bedingungen Remote Code Execution (RCE) über das Webinterface. Mit der neuen Firmware 5.31.108 steht ein Fix bereit, der Anwendern dringend zur Installation empfohlen wird.
CVE-2025-30247: Remote Code Execution über Webinterface
Angriffsweg und technische Einordnung
Die Lücke resultierte aus einer fehlerhaften Eingabevalidierung im Administrations-Frontend von My Cloud. Speziell präparierte HTTP-POST-Anfragen konnten dazu führen, dass unbereinigte Parameter in Systemaufrufe einflossen – ein klassischer Fall von Command Injection. Gelingt die Ausnutzung, kann ein Angreifer beliebige Befehle mit den Rechten des betroffenen Prozesses auf dem NAS ausführen. Laut Hersteller erfolgte der Angriff über verwundbare Endpunkte der Management-Konsole; gemeldet wurde das Problem vom Sicherheitsforscher w1th0ut.
Betroffene Modelle und Verfügbarkeit des Patches
Western Digital stellt den Fix als Firmware 5.31.108 für alle betroffenen My-Cloud-Modelle bereit. Ausgenommen sind die bereits abgekündigten Geräte My Cloud DL4100 und My Cloud DL2100; für diese End-of-Support-Modelle sind keine Patches und auch keine offiziellen Minderungsmaßnahmen vorgesehen. Nutzer sollten prüfen, ob ihr System im Support-Zeitraum liegt, und rasch aktualisieren.
Auto-Update und Zeitplan
Systeme mit aktivierten Auto-Updates erhalten das Sicherheitsupdate seit dem 23. September 2025. Es empfiehlt sich dennoch, die installierte Version manuell zu verifizieren und bei Bedarf das Update über die Oberfläche oder den Support-Bereich von Western Digital einzuspielen.
Auswirkungen auf Sicherheit und Betrieb
Eine erfolgreiche Ausnutzung von CVE-2025-30247 kann Shell-Befehle auf dem NAS triggern. Mögliche Folgen reichen von unautorisiertem Datei-Zugriff, -Änderung oder -Löschung über Benutzeraufzählung und Konfigurationsmanipulation bis zum Start beliebiger Binärdateien. In der Praxis werden solche Zugriffe häufig genutzt, um Persistenz zu erreichen, Daten exfiltrieren, Kryptominer auszurollen oder Ransomware-Vorstufen zu etablieren. Dass Injection-Schwachstellen dauerhaft zu den gravierendsten Risiken zählen, spiegelt sich auch in den OWASP Top 10 wider, wo sie seit Jahren prominent vertreten sind.
Empfohlene Maßnahmen und Härtung
Sofortiges Update auf 5.31.108 hat oberste Priorität. Ist ein zeitnahes Patchen nicht möglich, sollte das NAS vorübergehend isoliert werden. Zusätzlich ratsam sind die Härtungsmaßnahmen: Zugriff auf das Webinterface auf LAN/VPN beschränken, Portweiterleitungen und UPnP deaktivieren, Netzwerksegmentierung umsetzen, Kontenprinzipien (Least Privilege, starke und einzigartige Passwörter, optional MFA) durchsetzen sowie Audit-Logs und Monitoring aktivieren. Verlässliche Backups mit mindestens einer offline gehaltenen Kopie reduzieren das Schadenspotenzial im Incident-Fall. Diese Empfehlungen entsprechen gängigen Leitlinien von Behörden und Brancheninitiativen wie CISA und ENISA.
Sicheres Update und Alternativen für EOL-Modelle
Zur Prüfung der Version im Admin-Interface die Update-Seite öffnen und gegen 5.31.108 vergleichen. Vor einer manuellen Aktualisierung eine aktuelle Datensicherung anlegen. Nach dem Einspielen Version und Dienste prüfen und anschließend die externe Angriffsfläche neu bewerten. Für DL4100 und DL2100 als End-of-Support-Geräte gilt: langfristige Netzwerk-Isolation und eine geplante Migration auf ein aktiv unterstütztes NAS sind die sichersten Optionen.
Organisationen und Privatanwender sollten diese Gelegenheit nutzen, ihre Update-Prozesse, Zugriffspfade und Backup-Strategien zu schärfen. Wer zeitnah auf 5.31.108 aktualisiert, die Angriffsfläche reduziert und grundlegende Cyberhygiene praktiziert, minimiert das Risiko einer Kompromittierung und erhöht die Resilienz der eigenen Speicherinfrastruktur nachhaltig.
