Synology demande un correctif pour une faille critique Zero-Click RCE affectant des millions de périphériques NAS

05 novembre 2024Ravie LakshmananVulnérabilité / Sécurité des données

Le fabricant taïwanais d’appareils de stockage en réseau (NAS) Synology a corrigé une faille de sécurité critique affectant DiskStation et BeePhotos qui pourrait conduire à l’exécution de code à distance.

Suivi comme CVE-2024-10443 et doublé RISQUE : GARE par Midnight Blue, la faille zero-day a été démontrée lors du concours de piratage Pwn2Own Ireland 2024 par le chercheur en sécurité Rick de Jager.

RISK:STATION est une « vulnérabilité sans clic non authentifiée permettant aux attaquants d’obtenir l’exécution de code au niveau racine sur les appareils NAS populaires Synology DiskStation et BeeStation, affectant des millions d’appareils », a déclaré la société néerlandaise. dit.

La nature sans clic de la vulnérabilité signifie qu’elle ne nécessite aucune interaction de l’utilisateur pour déclencher l’exploitation, permettant ainsi aux attaquants d’accéder aux appareils pour voler des données sensibles et installer des logiciels malveillants supplémentaires.

La faille affecte les versions suivantes –

Des détails techniques supplémentaires sur la vulnérabilité ont actuellement été retenus afin de donner aux clients suffisamment de temps pour appliquer les correctifs. Midnight Blue a déclaré qu’il y avait entre un et deux millions d’appareils Synology qui sont actuellement simultanément affectés et exposés à Internet.

QNAP corrige 3 bugs critiques

La divulgation intervient alors que QNAP a résolu trois failles critiques affectant QuRouter, SMB Service et HBS 3 Hybrid Backup Sync, qui ont toutes été exploitées lors de Pwn2Own :

CVE-2024-50389 – Corrigé dans QuRouter 2.4.5.032 et versions ultérieures
CVE-2024-50387 – Corrigé dans SMB Service 4.15.002 et SMB Service h4.15.002 et versions ultérieures
CVE-2024-50388 – Corrigé dans HBS 3 Hybrid Backup Sync 25.1.1.673 et versions ultérieures

Bien qu’il n’y ait aucune preuve que l’une des vulnérabilités susmentionnées ait été exploitée dans la nature, il est conseillé aux utilisateurs d’appliquer les correctifs dès que possible étant donné que les périphériques NAS ont été des cibles de grande valeur pour les attaques de ransomware dans le passé.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Gazouillement et LinkedIn pour lire plus de contenu exclusif que nous publions.

ttn-fr-57

Ces habitants de Zoetermeer ont fait de leurs toilettes quelque chose de spécial

Nicole Buch : « Menno pensait que j’étais trop jeune pour rester seule »

Le Hertha BSC va-t-il faiblir à Maza ?

Les trains à destination de Groningue ont pour le moment Europapark comme gare terminale.

Synology demande un correctif pour une faille critique Zero-Click RCE affectant des millions de périphériques NAS

QNAP corrige 3 bugs critiques