Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Nueva vulnerabilidad de toma de control de administrador expuesta en DiskStation Manager de Synology
  • Tecnología

Nueva vulnerabilidad de toma de control de administrador expuesta en DiskStation Manager de Synology

teknomers 18 de Ekim de 2023 (Last updated: 18 de Ekim de 2023) 3 minutes read
Nueva vulnerabilidad de toma de control de administrador expuesta en


18 de octubre de 2023Sala de redacciónVulnerabilidad / Seguridad de datos

Se ha descubierto una falla de gravedad media en DiskStation Manager de Synology (DSM) que podría explotarse para descifrar la contraseña de un administrador y secuestrar la cuenta de forma remota.

“En algunas condiciones excepcionales, un atacante podría filtrar suficiente información para restaurar la semilla del generador de números pseudoaleatorios (PRNG), reconstruir la contraseña de administrador y tomar control remoto de la cuenta de administrador”, Sharon Brizinov de Claroty. dicho en un informe del martes.

La falla, a la que se le asignó el identificador CVE-2023-2729, tiene una calificación de gravedad de 5,9 en la escala de puntuación CVSS. Synology abordó la falla como parte de actualizaciones lanzado en junio de 2023.

La seguridad cibernética

El problema tiene su origen en el hecho de que el software utiliza un generador de números aleatorios débil que se basa en JavaScript. Método Math.random() para construir mediante programación la contraseña de administrador para el dispositivo de almacenamiento conectado a la red (NAS).

Conocida como aleatoriedad insegura, surge cuando una función que puede producir valores predecibles, o que no tiene suficiente entropía, se utiliza como fuente de aleatoriedad en un contexto de seguridad, lo que permite a un atacante descifrar el cifrado y anular la integridad de información y sistemas confidenciales.

Por lo tanto, la explotación exitosa de tales fallas podría permitir al actor de la amenaza predecir la contraseña generada y obtener acceso a funciones que de otro modo estarían restringidas.

“Al filtrar el resultado de algunos números generados por Math.Random(), pudimos reconstruir la semilla del PRNG y usarla para forzar la contraseña de administrador”, explicó Brizinov. “Finalmente pudimos usar la contraseña para iniciar sesión en la cuenta de administrador (después de habilitarla)”.

La seguridad cibernética

El ataque, sin embargo, depende de que un atacante extraiga con éxito algunos GUID que también se generan utilizando el mismo método durante el proceso de configuración para poder reconstruir la frase inicial para el generador de números pseudoaleatorios (PRNG).

“En un escenario de la vida real, el atacante primero necesitará filtrar los GUID antes mencionados, forzar el estado Math.Random y obtener la contraseña de administrador”, dijo Brizinov. “Incluso después de hacerlo, de forma predeterminada la cuenta de usuario administrador integrada está deshabilitada y la mayoría de los usuarios no la habilitan”.

“Nuevamente, es importante recordar que Math.random() no proporciona números aleatorios criptográficamente seguros. No los use para nada relacionado con la seguridad. Utilice Web Crypto API en su lugar, y más precisamente el método window.crypto.getRandomValues() “.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Saskia Nelissen es la nueva presentadora de NOS Journaal Regio
Next: Suomi.fi se convirtió en un campo de juego para los piratas informáticos: solo se avisa a la policía si sucede lo peor

Related Stories

Videovigilancia, control de acceso y geolocalización: esto es lo que
  • Tecnología

Videovigilancia, control de acceso y geolocalización: esto es lo que realmente puede hacer su empleador, según la CNIL

teknomers 13 de Temmuz de 2026
Lego enfrenta uno de los mayores mitos de la Nasa
  • Tecnología

Lego enfrenta uno de los mayores mitos de la Nasa (y el resultado es espléndido)

teknomers 12 de Temmuz de 2026
Cómo Orange prepara su red para absorber 2 millones de
  • Tecnología

Cómo Orange prepara su red para absorber 2 millones de clientes más este verano

teknomers 12 de Temmuz de 2026

You May Have Missed

« Me sorprende que aún estemos así »: dos jugadores
  • Deporte

« Me sorprende que aún estemos así »: dos jugadores españoles defienden a los Bleus tras los comentarios racistas de su antiguo Primer Ministro

teknomers 13 de Temmuz de 2026
  • Cultura

« Hace soñar al mundo entero »: el gran concierto de París para el 14 de julio será transmitido en 70 países

teknomers 13 de Temmuz de 2026
Videovigilancia, control de acceso y geolocalización: esto es lo que
  • Tecnología

Videovigilancia, control de acceso y geolocalización: esto es lo que realmente puede hacer su empleador, según la CNIL

teknomers 13 de Temmuz de 2026
"Se utilizará para las operaciones del tórax y para los
  • salud

“Se utilizará para las operaciones del tórax y para los niños…”: ¿por qué este centro hospitalario de este departamento rural se equipa con un robot quirúrgico?

teknomers 13 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.