Synology Diskstation Manager’da (DSM) ciddi bir güvenlik açığı, uzak saldırganların kullanıcı etkileşimi olmadan keyfi kod yürütmesini sağlar.
PWN2OWN 2024 sırasında açıklanan kusur, CVSS skoru 9.8 ile kritik bir önem derecesi aldı ve bu da yaygın sömürü potansiyelini gösterdi.
CVE-2024-10441 olarak tanımlanan birincil güvenlik açığı, sistem eklentisi arka planında yanlış kodlanmadan veya çıkışın kaçmasından kaynaklanmaktadır.
Kritik Synology Güvenlik Açığı
Bu kritik kusur, belirtilen yamalı sürümlerden önce DSM sürümleri, Beestation Manager (BSM) ve Synology Unified Controller (DSMUC) dahil olmak üzere çoklu sinoloji ürünlerini etkiler.
Bu güvenlik açığı, bu yıl sinoloji ürünlerinde keşfedilen en ciddi güvenlik sorunlarından birini temsil ediyor. CVSS skoru 9.8 ve kullanıcı kimlik doğrulaması gerektirmeyen saldırganlar potansiyel olarak savunmasız sistemlerin tam kontrolünü ele geçirebilir.
Teknik vektör, CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H, ağ erişilebilirliğini, düşük saldırı karmaşıklığını, hiçbir ayrıcalık gerektirmeyen, kullanıcı etkileşimi gerekmez ve yüksek gizlilik, bütünlük ve kullanılabilirlik etkisi için potansiyel olarak nitelendirilir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | -Synology BeeStation Manager (BSM) before 1.1-65374- Synology DiskStation Manager (DSM) before 6.2.4-25556-8- DSM before 7.1.1-42962-7- DSM before 7.2-64570-4- DSM before 7.2.1-69057-6- DSM before 7.2.2-72806-1- Synology Unified Controller (DSMUC) before 3.1.4-23079 |
| Darbe | Rasgele Kodu yürütmek |
| Önkoşuldan istismar | Hedefe Ağ Erişim |
| CVSS 3.1 puanı | 9.8 Kritik |
Orta-Şiddetli Sorunlar
CVE-2024-50629: Saldırganların belirtilmemiş vektörler aracılığıyla sınırlı dosyaları okumasını sağlayan CVSS puanı 5.3 olan Web API bileşeninde bir güvenlik açığı.
CVE-2024-10445: Bitişik saldırganların sınırlı dosya yazmasını sağlayan 4.3 CVSS puanı ile güncelleme işlevselliğinde uygunsuz bir sertifika doğrulama güvenlik açığı.
Güvenlik açıkları, Ryan Emmons (@The_Emmons) ve Team Sigara Varilleri ile birlikte Balkabağı Chang (@U1F383) ve Orange Tsai (@Orange_8361) dahil olmak üzere önde gelen güvenlik araştırmacıları tarafından keşfedildi.
Etkilenen ürünler ve iyileştirme
Synology, etkilenen tüm ürünler için yamalar yayınladı. Kullanıcılara aşağıdaki sürümleri güncellemeleri şiddetle tavsiye edilir:
- DSM 7.2.2: 7.2.2-72806-1 veya üstüne yükseltme
- DSM 7.2.1: 7.2.1-69057-6 veya üstüne yükseltme
- DSM 7.2: 7.2-64570-4 veya üstüne yükseltme
- DSM 7.1: 7.1.1-42962-7 veya üstüne yükseltme
- DSM 6.2: 6.2.4-25556-8 veya üstüne yükseltme
- DSMUC 3.1: 3.1.4-23079 veya üstüne yükseltme
Özellikle, güncellemeleri uygulamak dışında, hemen yama yapmanın önemini vurgulayarak herhangi bir hafifletme mevcut değildir.
“Bu tür kritik kusurların yaygın olarak konuşlandırılan depolama sistemlerinde var olması, kuruluşlara güvenliği ürün geliştirmelerinin ön saflarında tutmalarını hatırlatmalıdır.”
CVE-2024-10441’in şiddeti ve uzaktan sömürülebilirliği göz önüne alındığında, kuruluşlar ve Synology NAS cihazlarını kullanan bireyler bu güncellemeyi acil durum yaması olarak ele almalıdır.
Maruz kalan, eşleştirilmemiş sistemler otomatik tarama ve sömürü girişimleri ile tehlikeye atılabilir.
Synology başlangıçta bu güvenlik danışmanlığını 5 Kasım 2024’te, daha sonraki güncellemeler çeşitli ürün hatları için yamalar yayınladı.
19 Mart 2025’teki en son güncelleme, kullanıcılara sistemlerini güncellemek için yeterli zaman sağladıktan sonra tam güvenlik açığı ayrıntılarını açıkladı.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free