Western Digital My Cloud Cihazlarındaki Kritik Güvenlik Açığı
Western Digital, çeşitli My Cloud NAS modelleri için yazılım güncellemeleri yayınlayarak, uzaktan istismar edilebilecek kritik dereceli bir güvenlik açığını kapatmıştır. Bu açık, kullanıcı arayüzünde bulunan bir işletim sistemi komut enjeksiyonu ile ilişkilidir ve özellikle hazırlanmış HTTP POST talepleri aracılığıyla istismar edilebilir.
CVE-2025-30247 Açığının Detayları
Söz konusu güvenlik açığı, CVE-2025-30247 olarak takip edilmektedir. Bu açık, kötü niyetli kullanıcıların uzaktan sistem komutları çalıştırmasına olanak tanıyabilir. Güvenlik araştırmacısı “w1th0ut” takma adıyla bu açığı Western Digital haber vermiştir. Şirket, etkilenen tüm sürümlere yönelik olarak 5.31.108 versiyonunu yayınlamıştır. Bu güncelleme, aşağıda listelenen My Cloud modellerini etkilemektedir:
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX4100
- My Cloud EX2 Ultra
- My Cloud Mirror Gen 2
- My Cloud DL2100
- My Cloud EX2100
- My Cloud DL4100
- My Cloud WDBCTLxxxxxx-10
Bu cihazlardan ikisi, My Cloud DL4100 ve My Cloud DL2100, destek sona ermiştir (EoS) ve bu nedenle güncellemeler mevcut olmayabilir. Şirketin güvenlik uyarısı, EoS ürünleri için herhangi bir hafifletme eylemi sunmamaktadır.
My Cloud Cihazlarının Kullanım Alanları
My Cloud, Western Digital’in ağ bağlantılı depolama (NAS) cihazlarıdır ve genellikle küçük işletmeler, ev ofisleri ve kişisel bulut depolama ile veri erişimi sağlamak isteyen bireyler tarafından kullanılmaktadır. Bu cihazlar, kritik veya kurumsal bir çevrede kullanım için tasarlanmamıştır; fakat kullanıcı dostu özellikleri nedeniyle genel tüketici kitlesi arasında popülaritesini korumaktadır. Dosyalara mobil uygulamalar veya tarayıcılar üzerinden kolayca erişim sağlar, medya akışı ve otomatik yedeklemeler sunar.
Açığın Potansiyel Sonuçları
CVE-2025-30247 açığının istismar edilmesi, çeşitli tehlikeleri beraberinde getirmektedir. Yetkisiz dosya erişimi, dosya değişiklikleri, silme işlemleri, kullanıcı sayımları, yapılandırma değişiklikleri veya hatta ikili dosya çalıştırma gibi durumlarla karşılaşılabilir. Geçmişte, siber suçlular benzer açıkları kullanarak veri hırsızlıkları gerçekleştirmiş, botnet’ler kurmuş veya cihazları proxy olarak kullanmıştır. Özellikle ransomware (fidye yazılımı) paydayla kullanıcılara zorbalık yapma gibi vakalarla karşılaşılmıştır.
Açığın Kapatılması İçin Yapılması Gerekenler
My Cloud kullanıcılarının, mümkün olan en kısa sürede 5.31.108 sürüm güncellemesini uygulamaları büyük önem taşımaktadır. Eğer hemen güncelleme yapılamıyorsa, cihazı devre dışı bırakmaları önerilir. Cihaz offline durumda iken, LAN modu ile yerel depolama merkezleri olarak çalışmaya devam edebilirler; ancak Western Digital’in bulut hizmetindeki dosyalara erişim sağlanamayacaktır.
Eğer kullanıcılar cihaz ayarlarında otomatik güncellemeleri aktif hale getirdiyse, 23 Eylül 2025 tarihinden itibaren güncellemeyi almış olmaları gerekmektedir. Bunu doğrulamak için güncel sürümü kontrol etmek faydalı olacaktır.
Manuel Güncelleme Adımları
Kullanıcılar, manuel güncelleme yapmak istediklerinde aşağıdaki adımları takip edebilir:
- Cihaz modeline uygun güncelleme dosyasını buradan indirin.
- Cihaz ayarlarını açın ve Ayarlar > Yazılım Güncelleme > Dosyadan Güncelle seçeneğine gidin.
- İndirilen BIN dosyasını seçin.
- Güncellemenin etkili olabilmesi için cihazın yeniden başlatılması gerekmektedir. Bu sırada cihazın fişte kalması, veri bozulmalarını önlemek için önemlidir.
Sonuç
My Cloud cihazları, kullanıcıların veri güvenliğini sağlamak adına kritik bir güncelleme gerektirmektedir. Bu güncellemeyi uygulamak, kullanıcıların verilerini korumak için atılması gereken önemli bir adımdır. Kullanıcıların bu durumu ciddiye alması ve gerekli adımları atması büyük önem taşımaktadır. Verilerinizi güvende tutmak için güncellemeleri yapmakta gecikmeyin.
