A fabricante taiwanesa de dispositivos de armazenamento conectado em rede (NAS), Synology, corrigiu uma falha crítica de segurança que afeta o DiskStation e o BeePhotos, podendo levar à execução remota de código (remote code execution).
Identificada como CVE-2024-10443 e batizada de RISK:STATION pelo grupo Midnight Blue, a falha de dia zero foi demonstrada no concurso de hacking Pwn2Own Ireland 2024 pelo pesquisador de segurança Rick de Jager.
RISK:STATION é uma "vulnerabilidade de zero clique não autenticada que permite aos atacantes obter execução de código no nível de root nos populares dispositivos NAS Synology DiskStation e BeeStation, afetando milhões de aparelhos", disse a empresa holandesa.
A natureza de zero clique da vulnerabilidade significa que não é necessário nenhuma interação do usuário para desencadear a exploração, permitindo assim que os atacantes ganhem acesso aos dispositivos para roubar dados sensíveis e instalar malware adicional.
A falha impacta as seguintes versões:
BeePhotos para BeeStation OS 1.0 (Atualize para 1.0.2-10026 ou superior)
BeePhotos para BeeStation OS 1.1 (Atualize para 1.1.0-10053 ou superior)
Synology Photos 1.6 para DSM 7.2 (Atualize para 1.6.2-0720 ou superior)
Synology Photos 1.7 para DSM 7.2 (Atualize para 1.7.0-0795 ou superior)
Detalhes técnicos adicionais sobre a vulnerabilidade foram atualmente retidos para dar tempo suficiente aos clientes para aplicarem os patches.
Midnight Blue disse que há entre um e dois milhões de dispositivos Synology atualmente afetados e expostos na internet.
QNAP Corrige 3 Falhas Críticas
A divulgação ocorre enquanto a QNAP resolveu três falhas críticas que afetam o QuRouter, o SMB Service e o HBS 3 Hybrid Backup Sync, todos explorados durante o Pwn2Own -
CVE-2024-50389 - Corrigido no QuRouter 2.4.5.032 e posteriores
CVE-2024-50387 - Corrigido no SMB Service 4.15.002 e SMB Service h4.15.002, e posteriores
CVE-2024-50388 - Corrigido no HBS 3 Hybrid Backup Sync 25.1.1.673 e posteriores
Embora não haja evidências de que qualquer uma das vulnerabilidades mencionadas tenha sido explorada em ambientes reais, aconselha-se que os usuários apliquem os patches o mais breve possível, dado que os dispositivos NAS têm sido alvos de alto valor para ataques de ransomware no passado.
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...