Tayvan merkezli NAS üreticisi Synology, VPN sunucuları olarak çalışacak şekilde yapılandırılmış yönlendiricileri etkileyen maksimum (10/10) önem dereceli bir güvenlik açığını giderdi.
CVE-2022-43931 olarak izlenen güvenlik açığı, Synology’nin Ürün Güvenliği Olay Müdahale Ekibi (PSIRT) tarafından VPN Plus Sunucu yazılımında dahili olarak keşfedildi ve şirket tarafından maksimum CVSS3 Taban Puanı 10 verildi.
VPN Plus Sunucusu, yöneticilerin yönlendiricinin arkasındaki kaynaklara uzaktan erişime izin vermek için Synology yönlendiricilerini bir VPN sunucusu olarak kurmasına izin veren bir sanal özel ağ sunucusudur.
Güvenlik açığı, hedeflenen yönlendiriciler veya kullanıcı etkileşimi üzerinde ayrıcalık gerektirmeden düşük karmaşıklıktaki saldırılarda kullanılabilir.
Cuma günü yayınlanan bir güvenlik danışma belgesinde Synology, “Bir güvenlik açığı, uzaktaki saldırganların Synology VPN Plus Server’ın duyarlı bir sürümü aracılığıyla olası bir şekilde rasgele komut yürütmesine olanak tanır.”
“1.4.3-0534 ve 1.4.4-0635 öncesi Synology VPN Plus Server’da Uzak Masaüstü İşlevselliği’nde sınırların dışında yazma güvenlik açığı, uzaktaki saldırganların belirtilmemiş vektörler aracılığıyla rasgele komutlar yürütmesine olanak tanır.”
Sınır dışı yazma güvenlik açıkları, veri bozulması, sistem çökmeleri ve bellek bozulmasını takiben kod yürütme gibi ciddi etkilere neden olabilir.
Synology, hatayı yamalamak için güvenlik güncellemeleri yayınladı ve müşterilere SRM için VPN Plus Sunucusunu (Synology Router Manager) mevcut en son sürüme yükseltmelerini tavsiye ediyor.
| Ürün | Sabit Sürüm Kullanılabilirliği |
|---|---|
| SRM 1.3 için VPN Plus Sunucusu | 1.4.4-0635 veya üstüne yükseltin |
| SRM 1.2 için VPN Plus Sunucusu | 1.4.3-0534 veya üstüne yükseltin |
Geçen ay Synology, kritik önem derecesi olarak derecelendirilen ikinci bir danışma belgesi yayınladı ve Synology Router Manager’da çok sayıda güvenlik açığını yamaladığını duyurdu.
Şirket, “Birden çok güvenlik açığı, uzaktaki saldırganların Synology Router Manager’ın (SRM) savunmasız bir sürümü aracılığıyla rastgele komutlar yürütmesine, hizmet reddi saldırıları gerçekleştirmesine veya rastgele dosyaları okumasına izin veriyor” dedi.
Synology, güvenlik kusurlarının CVE Kimliklerini listelemese de, çok sayıda araştırmacı ve ekip, yamalı hataları bildirdiği için kredilendirildi ve bunlardan en az ikisi, Pwn2Own’un ilk günü boyunca Synology RT6600ax yönlendiricisini hedef alan sıfır gün istismarlarını başarıyla demo yaptı. Toronto 2022 bilgisayar korsanlığı yarışması.
Gaurav Baruah, Synology RT6600ax’in WAN arabirimine yönelik bir komut enjeksiyon saldırısı yürüttüğü için 20.000 $ kazandı.
Kritik Aralık danışma belgesinde de adı geçen Computest, aynı Synology yönlendiricisinin LAN arabirimini hedefleyen bir komut enjeksiyon kök kabuğu istismarının tanıtımını yaptı.