Synology устраняет уязвимость максимального риска в своих VPN-маршрутизаторах

Synology устраняет уязвимость максимального риска в своих VPN-маршрутизаторах

4 января 2023 г.

Synology исправила уязвимость, обнаруженную в программном обеспечении маршрутизатора, которая получила максимальный уровень опасности – 10/10.

Согласно бюллетеню, выпущенному производителем NAS, уязвимость была обнаружена в его сервере VPN Plus. программного обеспечения и в настоящее время отслеживается как CVE-2022-43931.

Программное обеспечение позволяет настраивать маршрутизаторы в качестве VPN-серверов и обеспечивает удаленный доступ к конечные точки за этим маршрутизатором.

Удаленное выполнение кода и другие проблемы

Очевидно, злоумышленники могут использовать уязвимость в атаках с низкой сложностью, и им не потребуются какие-либо привилегии или взаимодействие с пользователем для получения доступа с обширным списком потенциального ущерба.

"Уязвимость позволяет удаленным злоумышленникам выполнять произвольные команды через уязвимую версию Synology VPN Plus Server», — говорится в бюллетене. «Уязвимость записи за границу в функции удаленного рабочего стола в Synology VPN Plus Server до версий 1.4.3-0534 и 1.4.4-0635 позволяет удаленным злоумышленникам выполнять произвольные команды через неуказанные векторы».

Out- Уязвимости записи вне границ допускают повреждение данных, сбои системы, а также выполнение кода после повреждения памяти, поясняет BleepingComputer.

Это не первый случай, когда Synology приходится устранять серьезную уязвимость в своих продуктах: в декабре 2022 года компания исправила несколько таких недостатков, обнаруженных в Router Manager.

«Множество уязвимостей позволяют удаленным злоумышленникам выполнять произвольные команды, проводить атаки типа «отказ в обслуживании» или читать произвольные файлы с помощью уязвимой версии Synology Router Manager (SRM)», — заявила тогда компания.

< p>CVE для этих уязвимостей не публиковалось, но мы знаем, что по крайней мере два эксперта по безопасности и группы успешно создали доказательство концепции с использованием Маршрутизатор Synology RT6600ax во время хакерского конкурса Pwn2Own Toronto 2022.

Исследователь по кибербезопасности Гаурав Баруа был награжден 20 000 долларов США за успешную атаку с внедрением команд на WAN-интерфейс Synology RT6600ax.

В апреле прошлого года компания объявила об исправлении ряда недостатков. влияет на несколько продуктов: «Множество уязвимостей позволяют удаленным злоумышленникам получать конфиденциальную информацию и, возможно, выполнять произвольный код с помощью уязвимой версии Synology DiskStation Manager (DSM) и Synology Router Manager (SRM)», — говорится тогда в бюллетене фирмы.