Ağa bağlı depolama (NAS) cihazları üreten bir şirket olan Synology, Synology VPN Plus Sunucu yazılımının olası en yüksek önem derecesine (10/10) sahip ciddi bir kusuru olduğunu bildirdi. Bir hafta önce yayınlanan ve kritik önem derecesi verilen uyarıda işletme, Synology’nin dahili bir güvenlik ekibi olan Ürün Güvenliği Olay Müdahale Ekibi (PSIRT) tarafından VPN Plus Sunucu yazılımında bulunan bir güvenlik açığını vurguladı.
VPN Plus Sunucusunun uzak masaüstü yeteneklerinde CVE-2022-43931 olarak takip edilen bir güvenlik açığı bulunmaktadır. Bu güvenlik açığı, sınırların dışında bir yazma sorunudur. Bu güvenlik açığı, uzaktaki bir saldırgan tarafından rasgele yönergeler gerçekleştirmek için kullanılabilir.
“Synology VPN Plus Server’ın savunmasız bir sürümü, yazılımın etkilenen sürümünü kullanıyorlarsa uzaktaki saldırganların rasgele komut yürütmesine olanak sağlayabilir.” Synology tarafından yayınlanan bir güvenlik uyarısı söyledi.
Danışma belgesinde “Uzaktaki saldırganlar, 1.4.3-0534 ve 1.4.4-0635’ten önceki Synology VPN Plus Server’daki Uzak Masaüstü İşlevselliği’ndeki sınırların dışında yazma güvenlik açığı sayesinde, tanımsız vektörler aracılığıyla rasgele komutlar yürütebilir.”
Synology, CVE-2022-43931 olarak bilinen güvenlik açığını gidermek için bir güvenlik güncellemesi yayınladı. Şirket, tüketicilerin mümkün olan en kısa sürede VPN Plus’ı en son sürüme yükseltmelerini tavsiye ediyor.
Synology Router’ınız, VPN Plus Sunucusu kullanılarak son teknoloji bir VPN (sanal özel ağ) sunucusuna dönüştürülebilir. Kullanıcılar, bu paket sayesinde yalnızca bir VPN istemcisi veya bir web tarayıcısı kullanarak Synology Router’ınızın arkasındaki yerel ağlarda bulunanların yanı sıra İnternet kaynaklarına da erişebileceklerdir.
Synology Router’ınız, VPN Plus Sunucusu kullanılarak son teknoloji bir VPN (sanal özel ağ) sunucusuna dönüştürülebilir. Kullanıcılar, bu paket sayesinde yalnızca bir VPN istemcisi veya bir web tarayıcısı kullanarak Synology Router’ınızın arkasındaki yerel ağlarda bulunanların yanı sıra İnternet kaynaklarına da erişebileceklerdir.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.