พบช่องโหว่ Critical ใน WD My Cloud อนุญาตให้เรียกใช้คำสั่งระยะไกลได้

October 1, 2025 Cybersecurity, Products, Threats Update, Western Digital

Western Digital ออกอัปเดต firmware สำหรับอุปกรณ์ NAS รุ่น My Cloud หลายรุ่น เพื่อปิดช่องโหว่ระดับ Critical ที่ผู้โจมตีสามารถเรียกใช้คำสั่งระบบจากระยะไกลได้

Credit: Pavel Ignatov/ShutterStock

Western Digital ได้ออกอัปเดต firmware เพื่อแก้ไขช่องโหว่ระดับ Critical ในอุปกรณ์ Network-attached Storage (NAS) รุ่น My Cloud หลายรุ่น โดยช่องโหว่ดังกล่าวติดตาม CVE-2025-30247 เป็นปัญหา OS command injection ใน user interface ของ My Cloud ซึ่งผู้โจมตีสามารถส่ง HTTP POST request ที่ถูกออกแบบมาเป็นพิเศษไปยัง endpoint ที่มีช่องโหว่ได้ นักวิจัยด้านความปลอดภัยที่ใช้นามแฝง “w1th0ut” เป็นผู้รายงานช่องโหว่นี้ให้กับทาง Western Digital

อุปกรณ์ที่ได้รับผลกระทบครอบคลุมทุกเวอร์ชันก่อนหน้า firmware 5.31.108 สำหรับรุ่นต่อไปนี้ My Cloud PR2100, PR4100, EX4100, EX2 Ultra, Mirror Gen 2, DL2100, EX2100, DL4100 และ WDBCTLxxxxxx-10 อย่างไรก็ตาม รุ่น My Cloud DL4100 และ DL2100 ได้สิ้นสุดการสนับสนุนแล้ว (End of Support) ทำให้อาจไม่มีการอัปเดตให้ ซึ่งประกาศความปลอดภัยจากบริษัทไม่ได้ให้คำแนะนำสำหรับผลิตภัณฑ์ EoS เหล่านี้

My Cloud เป็นอุปกรณ์ NAS ของ Western Digital ที่นิยมใช้ในธุรกิจขนาดเล็ก สำนักงานที่บ้าน และผู้ใช้งานทั่วไปที่ต้องการเก็บข้อมูลบน personal cloud และเข้าถึงจากอุปกรณ์ต่างๆ ได้ แม้ว่าจะไม่ได้ออกแบบมาสำหรับการใช้งานในสภาพแวดล้อมที่สำคัญหรือระดับองค์กร แต่อุปกรณ์เหล่านี้ได้รับความนิยมในกลุ่มผู้บริโภคทั่วไปเนื่องจากสามารถเข้าถึงไฟล์ได้ง่ายผ่าน mobile app หรือ browser รวมถึงการ streaming สื่อและการสำรองข้อมูลอัตโนมัติ การโจมตีผ่าน CVE-2025-30247 เพื่อรัน shell command อาจส่งผลให้เกิดการเข้าถึงไฟล์โดยไม่ได้รับอนุญาต การแก้ไข การลบ การระบุผู้ใช้งาน การเปลี่ยนแปลงค่าคอนฟิก หรือแม้กระทั่งการเรียกใช้ไฟล์ binary ได้

ในอดีตที่ผ่านมา แฮกเกอร์มักใช้ประโยชน์จากช่องโหว่ในลักษณะนี้บนอุปกรณ์ NAS เพื่อขโมยข้อมูลสำคัญ สร้าง botnet ใช้เป็น proxy หรือปล่อย ransomware แล้วเรียกค่าไถ่จากผู้ใช้งาน ผู้ใช้งาน My Cloud ควรให้ความสำคัญกับการอัปเดตเป็นเวอร์ชัน 5.31.108 โดยเร็วที่สุด หากไม่สามารถดำเนินการได้ทันที แนะนำให้ถอดอุปกรณ์ออกจากเครือข่ายไปก่อนจนกว่าจะสามารถอัปเดตได้ แม้จะ offline แต่อุปกรณ์ My Cloud ยังคงทำงานเป็นที่เก็บข้อมูล local ในโหมด LAN ได้ แม้ว่าไฟล์ที่เก็บบน cloud service ของ Western Digital จะไม่สามารถใช้งานได้

ผู้ใช้งานที่เปิดใช้งานการอัปเดตอัตโนมัติในการตั้งค่าอุปกรณ์ควรได้รับอัปเดตแล้ว ตั้งแต่วันที่ 23 กันยายน 2025 แต่ก็ควรตรวจสอบเพื่อให้แน่ใจว่าใช้งานเวอร์ชันล่าสุดแล้ว

ที่มา: https://www.bleepingcomputer.com/news/security/critical-wd-my-cloud-bug-allows-remote-command-injection/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Elastic 9.4 ออกแล้ว

Elastic ได้ออกมาประกาศเปิดตัว Elastic 9.4 อย่างเป็นทางการ โดยเพิ่มความสามารถในการตรวจสอบการทำงานของ Context Engineering, Application และ Infrastructure เพิ่มเติม, เสริม AI ในการรักษาความมั่นคงปลอดภัย และเพิ่มความสามารถอื่นๆ อีกมากมาย ดังนี้

Extreme Networks เปิดตัว Wi-Fi 7 AP รุ่นใหม่ พร้อม Agentic AI สำหรับบริหารจัดการระบบเครือข่ายแบบอัตโนมัติ

Extreme Networks ได้ออกมาประกาศถึงอัปเดตครั้งใหญ่ โดยเปิดตัว Wi-Fi 7 Access Point รุ่นใหม่ล่าสุด 5 รุ่น พร้อมนวัตกรรมใหม่ในการบริหารจัดการระบบเครือข่ายด้วย AI Agent เพื่อดูแลรักษาระบบเครือข่ายขององค์กรให้ทำงานได้อย่างต่อเนื่องโดยอัตโนมัติ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand