Synology a publié des mises à jour de sécurité pour corriger une faille critique affectant VPN Plus Server qui pourrait être exploitée pour prendre le contrôle des systèmes affectés.
Suivi comme CVE-2022-43931la vulnérabilité porte un indice de gravité maximum de 10 sur l’échelle CVSS et a été décrite comme un bogue d’écriture hors limites dans la fonctionnalité de bureau à distance de Synology VPN Plus Server.
L’exploitation réussie du problème « permet à des attaquants distants d’exécuter des commandes arbitraires via des vecteurs non spécifiés », a déclaré la société taïwanaise. m’a ditajoutant qu’il a été découvert en interne par son équipe de réponse aux incidents de sécurité des produits (PSIRT).
Les utilisateurs de VPN Plus Server pour Synology Router Manager (SRM) 1.2 et VPN Plus Server pour SRM 1.3 sont invités à mettre à jour les versions 1.4.3-0534 et 1.4.4-0635, respectivement.
Le fabricant d’appareils de stockage en réseau, dans un deuxième avis, a également averti de plusieurs failles dans SRM qui pourraient permettre à des attaquants distants d’exécuter des commandes arbitraires, de mener des attaques par déni de service ou de lire des fichiers arbitraires.
Les détails exacts sur les vulnérabilités ont été retenus, les utilisateurs étant invités à passer aux versions 1.2.5-8227-6 et 1.3.1-9346-3 pour atténuer les menaces potentielles.
Gaurav Baruah, Lukas Kupczyk de CrowdStrike, le chercheur DEVCORE Orange Tsai et la société de sécurité informatique basée aux Pays-Bas Computest ont été crédités pour avoir signalé les faiblesses.
Il vaut la peine de noter que certaines des vulnérabilités ont été démontrés lors du concours Pwn2Own 2022 qui s’est tenu du 6 au 9 décembre 2022 à Toronto.
Baruah a gagné 20 000 $ pour une attaque par injection de commande contre l’interface WAN du Synology RT6600ax, tandis que Computest a gagné 5 000 $ pour un exploit de shell racine par injection de commande visant son interface LAN.