Western Digital publicó actualizaciones de firmware para dispositivos My Cloud que corrigen la vulnerabilidad crítica CVE-2025-30247. El fallo residía en el panel de administración web y permitía ejecución remota de comandos (RCE) mediante inyección de comandos. La debilidad fue reportada de forma responsable por el investigador w1th0ut, y su explotación podría otorgar control del NAS con los privilegios del proceso afectado.
CVE-2025-30247: cómo opera la inyección de comandos
El defecto se originaba en una validación insuficiente de parámetros en los endpoints del panel de control. Solicitudes HTTP POST especialmente construidas podían incrustar parámetros no saneados en llamadas al sistema, abriendo la puerta a la ejecución de órdenes arbitrarias. Este patrón encaja con la familia de inyecciones descrita por OWASP Top 10, una categoría que continúa entre las más peligrosas por su potencial de compromiso total del sistema cuando los datos de entrada se entrelazan con invocaciones de comandos.
Modelos afectados y firmware disponible
Western Digital liberó el firmware 5.31.108 para las versiones soportadas de la familia My Cloud. Quedan fuera de soporte, y por tanto sin parche, los modelos My Cloud DL4100 y My Cloud DL2100. El fabricante no contempla mitigaciones específicas para estos equipos end-of-life, una práctica que coincide con las recomendaciones de gestión de ciclo de vida de activos publicadas por organismos como NIST y CISA, que instan a planificar la sustitución o aislamiento de dispositivos sin soporte.
Despliegue del parche y actualización automática
Los usuarios con actualizaciones automáticas habilitadas deberían haber recibido el parche después del 23 de septiembre de 2025. Es recomendable verificar manualmente que la versión instalada sea 5.31.108 y, de no ser así, iniciar la actualización desde la interfaz de gestión o descargar el paquete desde el portal de soporte de Western Digital.
Impacto potencial: de acceso no autorizado a ransomware
Una RCE por inyección de comandos permite ejecutar shell y, en consecuencia, leer, modificar o borrar archivos, alterar la configuración, enumerar usuarios o lanzar binarios externos. En campañas previas contra NAS de otros fabricantes (p. ej., familias como QSnatch o Muhstik), vectores similares se han usado para exfiltrar datos, desplegar cryptominers y preparar ataques de cifrado. Este historial subraya la importancia de parchear de inmediato y reducir la exposición de servicios administrativos.
Medidas de mitigación recomendadas
Actualice a 5.31.108 lo antes posible. Si no es viable de inmediato, limite la superficie de ataque: exponga el panel web solo desde la red local o mediante VPN, desactive port forwarding y UPnP, y aplique segmentación de red. Refuerce el control de cuentas con principio de mínimo privilegio, contraseñas únicas y MFA cuando exista, y active logs y monitorización. Mantenga copias de seguridad actualizadas, preferiblemente con un repositorio offline o inmutable para dificultar el borrado o cifrado malicioso.
Cómo verificar y actualizar su My Cloud de forma segura
Acceda al panel de administración de My Cloud con una cuenta con permisos adecuados, abra el módulo de actualizaciones y compruebe la versión instalada frente a 5.31.108. Antes de actualizar, tenga una copia de seguridad reciente de los datos críticos. Tras el parche, valide el correcto funcionamiento de servicios y revise la exposición del dispositivo en la red. Para los modelos sin soporte, como DL4100 y DL2100, la estrategia prudente es su aislamiento permanente o la migración planificada a una plataforma con mantenimiento activo.
La eliminación rápida de vulnerabilidades críticas en NAS es esencial para la resiliencia y la protección de la información. Aplique el firmware 5.31.108, reduzca la exposición del panel web y consolide su higiene de seguridad con parches oportunos, mínimo privilegio y copias de seguridad verificadas. Este enfoque disminuye de forma tangible la probabilidad de intrusiones y limita el impacto de incidentes futuros.
