Synology, etkilenen sistemleri devralmak için istismar edilebilecek VPN Plus Sunucusunu etkileyen kritik bir kusuru gidermek için güvenlik güncellemeleri yayınladı.
şu şekilde izlendi: CVE-2022-43931güvenlik açığı CVSS ölçeğinde maksimum 10 önem derecesine sahiptir ve Synology VPN Plus Server’daki uzak masaüstü işlevinde sınırların dışında yazma hatası olarak tanımlanmıştır.
Tayvanlı şirket, sorunun başarılı bir şekilde kullanılması “uzak saldırganların belirsiz vektörler aracılığıyla rasgele komutlar yürütmesine izin veriyor” söz konusuÜrün Güvenliği Olay Müdahale Ekibi (PSIRT) tarafından dahili olarak keşfedildiğini de sözlerine ekledi.
Synology Router Manager (SRM) 1.2 için VPN Plus Sunucusu ve SRM 1.3 için VPN Plus Sunucusu kullanıcılarının sırasıyla 1.4.3-0534 ve 1.4.4-0635 sürümlerine güncellemeleri önerilir.
Ağa bağlı depolama cihazı üreticisi, ikinci bir danışma belgesinde ayrıca uyardı SRM’de, uzaktaki saldırganların rasgele komutlar yürütmesine, hizmet reddi saldırıları gerçekleştirmesine veya rasgele dosyaları okumasına izin verebilecek çeşitli kusurlar.
Güvenlik açıklarıyla ilgili kesin ayrıntılar verilmedi ve kullanıcılardan potansiyel tehditleri azaltmak için 1.2.5-8227-6 ve 1.3.1-9346-3 sürümlerine yükseltmeleri istendi.
Gaurav Baruah, CrowdStrike’tan Lukas Kupczyk, DEVCORE araştırmacısı Orange Tsai ve Hollanda merkezli BT güvenlik firması Computest, zayıflıkları bildirdikleri için kredilendirildi.
Bunu belirtmekte fayda var bazı güvenlik açıkları 6-9 Aralık 2022 tarihleri arasında Toronto’da düzenlenen 2022 Pwn2Own yarışmasında gösterildi.
Baruah, Synology RT6600ax’in WAN arayüzüne yönelik bir komut enjeksiyon saldırısı için 20.000 $ kazanırken Computest, LAN arayüzünü hedefleyen bir komut enjeksiyon kök kabuğu istismarı için 5.000 $ kazandı.