مشاهده ی دو آسیبپذیری در دستگاههای NAS شرکت Synology
دو آسیبپذیری امنیتی بحرانی در دستگاههای NAS شرکت Synology که در مسابقه هک Pwn2Own کشف شده بودند، برطرف شدند.
دو آسیبپذیری نرمافزاری به هکرها اجازه میدهند تا به دستگاههای ذخیرهسازی شبکهای (NAS) از سری BeeStation شرکت Synology، و سایر دستگاهها حمله کنند. اکنون بهروزرسانیهای امنیتی این نرم افزار در دسترس هستند.
همانطور که Synology در دو هشدار درباره Synology Photos و BeePhotos بیان کرده، این آسیبپذیریها را «بحرانی» طبقهبندی کرده است. با این حال، این شرکت شمارههای CVE ارائه نداده است. طبق گزارشها، پژوهشگران امنیتی این آسیبپذیریها را در مسابقه هک Pwn2Own در ایرلند کشف کردند و با موفقیت به آنها حمله کردند.
در هر دو مورد، کد مخرب میتواند به سیستمها نفوذ کرده و آنها را به خطر بیندازد. در یکی از موارد، گفته میشود که مهاجمان از راه دور میتوانند احراز هویت را دور بزنند. هنوز مشخص نیست که این حملات بهطور دقیق چگونه عمل میکنند. Synology هنوز هیچ نشانهای از وقوع حملات ارائه نکرده است و در حال حاضر اطلاعاتی درباره چگونگی شناسایی دستگاههای NAS که ممکن است مورد حمله قرار گرفته باشند، در دسترس نیست.
حفاظت از سیستمها
برای محافظت از دستگاههای NAS در برابر حملات ذکر شده، مدیران باید نسخههای زیر را نصب کنند:
- Synology Photos نسخه ۱.۷.۰-۰۷۹۵ برای DSM 7.2
- Synology Photos نسخه ۱.۶.۲-۰۷۲۰ برای DSM 7.2
- BeePhotos نسخه ۱.۱.۰-۱۰۰۵۴ برای BeeStation OS 1.1
- BeePhotos نسخه ۱.۰.۲-۱۰۰۲۶ برای BeeStation OS 1.0
در مسابقه Pwn2Own در ایرلند، مدلهای NAS از رقیب Synology یعنی Qnap نیز تحت تأثیر قرار گرفتند. پس از حملات موفق، مهاجمان میتوانستند به root دست یابند و در نتیجه، سیستمها را بهطور کامل به خطر بیندازند. این حفرهها نیز اکنون برطرف شدهاند.
بهطور کلی، برگزارکننده این مسابقه هک، شرکت Trend Micro، بیش از یک میلیون دلار جایزه به شرکتکنندگان پرداخت کرد. جزئیات مربوط به آسیبپذیریهای امنیتی بهصورت محرمانه باقی میماند تا تولیدکنندگان دستگاهها بتوانند با ارائه بهروزرسانیهای امنیتی از سیستمها محافظت کنند.
