Synology, etkilenen sistemleri devralmak için istismar edilebilecek VPN Plus Sunucusunu etkileyen kritik bir kusuru gidermek için güvenlik güncellemeleri yayınladı.
CVE-2022-43931 olarak izlenen güvenlik açığı, CVSS ölçeğinde maksimum önem derecesi 10’dur ve Synology VPN Plus Server’daki uzak masaüstü işlevinde sınırların dışında yazma hatası olarak tanımlanmıştır.
Tayvanlı şirket, sorunun başarılı bir şekilde kullanılmasının “uzak saldırganların belirsiz vektörler aracılığıyla rasgele komutlar yürütmesine izin verdiğini” belirterek, sorunun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT) tarafından dahili olarak keşfedildiğini de sözlerine ekledi.
Synology Router Manager (SRM) 1.2 için VPN Plus Sunucusu ve SRM 1.3 için VPN Plus Sunucusu kullanıcılarının sırasıyla 1.4.3-0534 ve 1.4.4-0635 sürümlerine güncellemeleri önerilir.
Ağa bağlı depolama cihazı üreticisi, ikinci bir danışma belgesinde ayrıca SRM’de, uzaktaki saldırganların rastgele komutlar yürütmesine, hizmet reddi saldırıları gerçekleştirmesine veya rastgele dosyaları okumasına izin verebilecek çeşitli kusurlar konusunda uyarıda bulundu.
Güvenlik açıklarıyla ilgili kesin ayrıntılar verilmedi ve kullanıcılardan potansiyel tehditleri azaltmak için 1.2.5-8227-6 ve 1.3.1-9346-3 sürümlerine yükseltmeleri istendi.
Gaurav Baruah, CrowdStrike’tan Lukas Kupczyk, DEVCORE araştırmacısı Orange Tsai ve Hollanda merkezli BT güvenlik firması Computest, zayıflıkları bildirdikleri için kredilendirildi.
Bazı güvenlik açıklarının Toronto’da 6-9 Aralık 2022 tarihleri arasında düzenlenen 2022 Pwn2Own yarışmasında gösterildiğini belirtmekte fayda var.
Baruah, Synology RT6600ax’in WAN arayüzüne yönelik bir komut enjeksiyon saldırısı için 20.000 $ kazanırken Computest, LAN arayüzünü hedefleyen bir komut enjeksiyon kök kabuğu istismarı için 5.000 $ kazandı.