cyberspace-2784907_1280-e1615816224251.jpg

Synology corrige vulnerabilidades críticas em seus roteadores

Da Redação
04/01/2023

A Synology, fabricante taiwanesa de dispositivos de rede e armazenamento, informou os clientes sobre a disponibilidade de patches para várias vulnerabilidades críticas, incluindo falhas que provavelmente foram exploradas recentemente no concurso de hackers Pwn2Own.

A empresa publicou dois novos alertas críticos no final de dezembro. Um deles descreve uma vulnerabilidade descoberta internamente que afeta o Synology VPN Plus Server, que transforma os roteadores em um servidor VPN avançado. A falha de segurança, rastreada como CVE-2022-43931, é um problema de gravação fora dos limites na funcionalidade de área de trabalho remota do VPN Plus Server. Ele pode permitir que um invasor remoto execute comandos arbitrários.

O segundo comunicado descreve várias vulnerabilidades que afetam o Synology Router Manager (SRM), sistema operacional que alimenta os roteadores da empresa. As falhas podem ser exploradas para execução de comandos arbitrários, ataques de negação de serviço (DoS) e leitura de arquivos arbitrários.

A consultoria SRM atribui a descoberta das vulnerabilidades a várias pessoas, o que sugere que elas foram demonstradas no concurso de hackers Pwn2Own, realizada de 6 a 9 de dezembro em Toronto, no Canadá. Os participantes ganharam quase US$ 1 milhão por explorações direcionadas a smartphones, impressoras, roteadores, dispositivos NAS (armazenamento conectado à rede) e alto-falantes inteligentes.

Veja isso
Malware ataca armazenamento de rede da QNAP e da Synology
QNAP alerta para risco de ataque do ransomware Checkmate

Gaurav Baruah ganhou US$ 20 mil por uma exploração de injeção de comando contra a interface WAN de um roteador Synology RT6600ax, enquanto a Computest ganhou US$ 5 mil por um ataque de shell de root visando a interface LAN do dispositivo.No Pwn2Own, os participantes ganharam um total de mais de US$ 80 mil por hackear roteadores Synology e dispositivos NAS, além de dezenas de milhares de dólares por explorações encadeadas que visavam um dispositivo Synology e um segundo alvo. Com agências de notícias internacionais.

Compartilhar: