SYNOLOGY - luka bezpieczeństwa CVE-2024-10443

Firma Synology wydała łatkę na krytyczną lukę bezpieczeństwa w swoich produktach DiskStation i BeeeStation. Luka znana jako CVE-2024-10443 lub też RISK:STATION, może zostać stosunkowo łatwo wykorzystana przez osoby nieautoryzowane bez konieczności żadnej interakcji użytkownika, gdyż nie wymaga nawet jednego kliknięcia. Udany atak umożliwi wykonanie dowolnego kodu na urządzeniu z uprawnieniami roota.

Luka została po raz pierwszy ujawniona przez badacza bezpieczeństwa cybernetycznego Ricka de Jager na dublińskiej edycji konkursu Pwn2Own, który odbył się w Irlandii w październiku 2024 roku.

Podatność dotyczy następujących urządzeń:

• BeePhotos dla BeeStation OS 1.0 i 1.1
• Synology Photos 1.6 i 1.7 dla DSM 7.2

Chociaż nie ma doniesień o aktywnym wykorzystywani luki, szacuje się, że nawet 2 miliony urządzeń podłączonych do Internetu może być na nią narażonych. Użytkownikom wyżej wskazanych produktów zdecydowanie zaleca się natychmiastową instalację dostępnej poprawki, w celu zminimalizowania ryzyka stania się ofiarą oprogramowania ransomware, kradzieży informacji lub innej złośliwej aktywności. Dodatkowe szczegóły techniczne dotyczące luki zostały obecnie wstrzymane, aby dać klientom wystarczająco dużo czasu na zastosowanie poprawek.

Właściciele urządzeń mogą również zastosować pewne środki łagodzące, takie jak wyłączenie komponentów Synology Photos/BeePhotos, jeśli nie są potrzebne, wyłączenie przekierowania portów dla urządzenia, wyłączenie QuickConnect oraz zablokowanie portów TCP 5000 i 5001, aby odciąć potencjalne ataki z Internetu.

Synology Urges Patch for Critical Zero-Click RCE Flaw Affecting Millions of NAS Devices