Araştırmacılar ayrıca, kullanıcıların fotoğrafları düzenlemesine yardımcı olan fotoğraf uygulamasının, müşterilerin NAS cihazlarını doğrudan internete kendileri bağlamaları veya kullanıcıların NAS’larına her yerden uzaktan erişmelerine olanak tanıyan Synology’nin QuickConnect hizmeti aracılığıyla bağlanmaları durumunda kolay erişim sağladığını söyledi. Saldırganlar buluta bağlı bir Synology NAS bulduğunda, sistemlerin kaydedilme ve kimlik atanma şekli nedeniyle diğerlerini de kolaylıkla bulabilirler.
“QuickConnect hizmeti aracılığıyla özel bir buluta bağlanan bu cihazların pek çoğu var ve bunlar da istismar edilebilir; yani doğrudan internete maruz bırakmasanız bile, istismar edebilirsiniz. [the devices] Wetzels, bu hizmet aracılığıyla milyonlarca cihaza ihtiyaç duyulduğunu belirtiyor.
Araştırmacılar, Amerika Birleşik Devletleri ve Fransa’daki polis departmanlarının yanı sıra ABD, Kanada ve Fransa merkezli çok sayıda hukuk firmasının ve Avustralya’daki yük ve petrol tankı operatörlerinin sahip olduğu bulut bağlantılı Synology NAS’leri tespit edebildiler. Güney Kore. Hatta Güney Kore, İtalya ve Kanada’da elektrik şebekelerinde ve ilaç ve kimya endüstrilerinde çalışan bakım yüklenicilerinin sahip olduğu şirketler bile bulundu.
Wetzels, “Bunlar kurumsal verileri, yönetim belgelerini, mühendislik belgelerini ve hukuk firmaları söz konusu olduğunda belki dava dosyalarını depolayan firmalardır” diye belirtiyor.
Araştırmacılar, bu cihazlarla ilgili tek endişenin fidye yazılımı ve veri hırsızlığı olmadığını söylüyor; saldırganlar, virüslü sistemleri bir botnet’e dönüştürerek, Çin’deki Volt Typhoon korsanlarının enfekte olmuş evden oluşturduğu devasa bir botnet gibi diğer hackleme operasyonlarını gizleyebiliyor. ve casusluk operasyonlarını gizlemek için ofis yönlendiricileri.
Synology yorum talebine yanıt vermedi ancak şirketin web sitesi 25 Ekim’de sorunla ilgili iki güvenlik uyarısı yayınladı ve güvenlik açığını “kritik” olarak nitelendirdi. Güvenlik açığının Pwn2Own yarışması kapsamında keşfedildiğini doğrulayan uyarılar, şirketin güvenlik açığı için yamalar yayınladığını gösteriyor. Ancak Synology’nin NAS cihazları otomatik güncelleme özelliğine sahip değil ve kaç müşterinin yamayı bildiği ve uyguladığı belli değil. Yamanın yayınlanmasıyla birlikte, saldırganların yamadaki güvenlik açığını tespit etmesi ve cihazları hedeflemek için bir istismar tasarlaması da kolaylaşıyor.
“Bulmak önemsiz değil [the vulnerability] Meijer, WIRED’e şöyle diyor: “Kendi başınıza, bağımsız olarak, ancak yama gerçekten yayınlandığında noktaları anlamak ve birleştirmek oldukça kolaydır ve yamaya tersine mühendislik uygularsınız.”