CVE-2025-30247 afecta al firmware de Western Digital My Cloud (OS 5) anterior a la versión 5.31.108 en varios modelos NAS My Cloud (PR2100, PR4100, EX4100, EX2 Ultra, Mirror Gen2, DL2100, EX2100, DL4100 y otros). Western Digital ha lanzado la versión de firmware 5.31.108 para solucionar el problema (septiembre de 2025). Según los informes públicos, la vulnerabilidad se clasifica como una inyección crítica de comandos del SO dentro de la interfaz web del usuario, que puede activarse mediante solicitudes HTTP POST especialmente diseñadas. Un ataque exitoso permite a un actor remoto no autenticado acceder a todos los datos almacenados, con la posibilidad de cifrarlos, eliminarlos o modificarlos.

Fecha	2025-10-06 17:20:15
Información	Solución disponible

Resumen técnico

Esta es una vulnerabilidad de inyección de comandos del SO que permite a un atacante remoto no autenticado ejecutar comandos de sistema arbitrarios en dispositivos My Cloud NAS afectados mediante el envío de solicitudes HTTP POST especialmente construidas a la interfaz web del dispositivo. Un exploit exitoso puede llevar al control total sobre los dispositivos NAS afectados. El problema afecta a las versiones del firmware My Cloud OS5 anteriores a la 5.31.108; el firmware proporcionado por el fabricante 5.31.108 contiene la corrección.

Recomendaciones

1. Aplicar el parche de inmediato — actualizar todos los dispositivos My Cloud OS5 afectados al firmware 5.31.108 o superior. Coordinar en todo el entorno y automatizar siempre que sea posible.
2. Eliminar la exposición pública — deshabilitar el reenvío de puertos (port forwarding) o el acceso remoto a la interfaz de gestión del dispositivo; si la gestión remota es necesaria, colocar el acceso detrás de una VPN o un jump host.
3. Segmentación de red y control de acceso — aislar los dispositivos NAS en una VLAN de gestión, limitar el acceso administrativo a hosts de confianza específicos y aplicar reglas de firewall restrictivas.
4. Limitar el acceso saliente — bloquear o controlar estrictamente las conexiones salientes desde los dispositivos NAS hacia direcciones sensibles (ej. servicios de metadatos en la nube como 169.254.169.254) y APIs de gestión internas para reducir el riesgo de exfiltración o movimiento lateral.
5. Monitorear e investigar — observar solicitudes POST sospechosas hacia endpoints administrativos, procesos o conexiones de red inusuales provenientes de los dispositivos NAS, creación de cuentas o cronjobs inesperados, o signos de cifrado de datos. En caso de sospecha de compromiso, aislar el dispositivo y recopilar artefactos forenses antes de la reconstrucción.
6. Respaldo y recuperación — asegurarse de que existan respaldos offline y probados antes de la remediación; si el dispositivo está comprometido, realizar un borrado y reconstrucción desde soportes confiables después de la ejecución del plan de recuperación.

[Callforaction-THREAT-Footer]