A Synology, fabricante taiwanesa de dispositivos de rede e armazenamento, informou os clientes sobre a disponibilidade de patches para várias vulnerabilidades críticas, incluindo falhas que provavelmente foram exploradas recentemente no concurso de hackers Pwn2Own.
A empresa publicou dois novos alertas críticos no final de dezembro. Um deles descreve uma vulnerabilidade descoberta internamente que afeta o Synology VPN Plus Server, que transforma os roteadores em um servidor VPN avançado. A falha de segurança, rastreada como CVE-2022-43931, é um problema de gravação fora dos limites na funcionalidade de área de trabalho remota do VPN Plus Server. Ele pode permitir que um invasor remoto execute comandos arbitrários.
O segundo comunicado descreve várias vulnerabilidades que afetam o Synology Router Manager (SRM), sistema operacional que alimenta os roteadores da empresa. As falhas podem ser exploradas para execução de comandos arbitrários, ataques de negação de serviço (DoS) e leitura de arquivos arbitrários.
A consultoria SRM atribui a descoberta das vulnerabilidades a várias pessoas, o que sugere que elas foram demonstradas no concurso de hackers Pwn2Own, realizada de 6 a 9 de dezembro em Toronto, no Canadá. Os participantes ganharam quase US$ 1 milhão por explorações direcionadas a smartphones, impressoras, roteadores, dispositivos NAS (armazenamento conectado à rede) e alto-falantes inteligentes.
Veja isso
Malware ataca armazenamento de rede da QNAP e da Synology
QNAP alerta para risco de ataque do ransomware Checkmate
Gaurav Baruah ganhou US$ 20 mil por uma exploração de injeção de comando contra a interface WAN de um roteador Synology RT6600ax, enquanto a Computest ganhou US$ 5 mil por um ataque de shell de root visando a interface LAN do dispositivo.No Pwn2Own, os participantes ganharam um total de mais de US$ 80 mil por hackear roteadores Synology e dispositivos NAS, além de dezenas de milhares de dólares por explorações encadeadas que visavam um dispositivo Synology e um segundo alvo. Com agências de notícias internacionais.