{"id":557148,"date":"2023-01-04T06:44:51","date_gmt":"2023-01-04T06:44:51","guid":{"rendered":"https:\/\/teknomers.com\/es\/synology-lanza-un-parche-para-la-vulnerabilidad-rce-critica-que-afecta-a-los-servidores-vpn-plus\/"},"modified":"2023-01-04T06:44:53","modified_gmt":"2023-01-04T06:44:53","slug":"synology-lanza-un-parche-para-la-vulnerabilidad-rce-critica-que-afecta-a-los-servidores-vpn-plus","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/synology-lanza-un-parche-para-la-vulnerabilidad-rce-critica-que-afecta-a-los-servidores-vpn-plus\/","title":{"rendered":"Synology lanza un parche para la vulnerabilidad RCE cr\u00edtica que afecta a los servidores VPN Plus"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>04 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>VPN \/ Seguridad del servidor<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Synology ha publicado actualizaciones de seguridad para abordar una falla cr\u00edtica que afecta al servidor VPN Plus y que podr\u00eda explotarse para hacerse cargo de los sistemas afectados.<\/p>\n

rastreado como CVE-2022-43931<\/a>la vulnerabilidad tiene una clasificaci\u00f3n de gravedad m\u00e1xima de 10 en la escala CVSS y se ha descrito como un error de escritura fuera de los l\u00edmites en la funcionalidad de escritorio remoto en Synology VPN Plus Server.<\/p>\n

La explotaci\u00f3n exitosa del problema “permite a los atacantes remotos ejecutar comandos arbitrarios a trav\u00e9s de vectores no especificados”, dijo la compa\u00f1\u00eda taiwanesa. dijo<\/a>agregando que fue descubierto internamente por su Equipo de respuesta a incidentes de seguridad de productos (PSIRT).<\/p>\n

Se recomienda a los usuarios de VPN Plus Server para Synology Router Manager (SRM) 1.2 y VPN Plus Server para SRM 1.3 que actualicen a las versiones 1.4.3-0534 y 1.4.4-0635, respectivamente.<\/p>\n

El fabricante de dispositivos de almacenamiento conectado a la red, en un segundo aviso, tambi\u00e9n prevenido<\/a> de varias fallas en SRM que podr\u00edan permitir a atacantes remotos ejecutar comandos arbitrarios, realizar ataques de denegaci\u00f3n de servicio o leer archivos arbitrarios.<\/p>\n

Se han retenido los detalles exactos sobre las vulnerabilidades, y se insta a los usuarios a actualizar a las versiones 1.2.5-8227-6 y 1.3.1-9346-3 para mitigar las posibles amenazas.<\/p>\n

Gaurav Baruah, Lukas Kupczyk de CrowdStrike, el investigador de DEVCORE Orange Tsai y la firma de seguridad de TI con sede en los Pa\u00edses Bajos Computest han sido acreditados por informar las debilidades.<\/p>\n

Vale la pena se\u00f1alar que algunas de las vulnerabilidades<\/a> se demostraron en el concurso Pwn2Own 2022 celebrado entre el 6 y el 9 de diciembre de 2022 en Toronto.<\/p>\n

Baruah gan\u00f3 $ 20,000 por un ataque de inyecci\u00f3n de comandos contra la interfaz WAN de Synology RT6600ax, mientras que Computest gan\u00f3 $ 5,000 por un exploit shell ra\u00edz de inyecci\u00f3n de comandos dirigido a su interfaz LAN.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n