A fabricante taiwanesa de dispositivos de armazenamento conectado em rede (NAS), Synology, corrigiu uma falha crítica de segurança que afeta o DiskStation e o BeePhotos, podendo levar à execução remota de código (remote code execution).
Identificada como CVE-2024-10443 e batizada de RISK:STATION pelo grupo Midnight Blue, a falha de dia zero foi demonstrada no concurso de hacking Pwn2Own Ireland 2024 pelo pesquisador de segurança Rick de Jager.
RISK:STATION é uma "vulnerabilidade de zero clique não autenticada que permite aos atacantes obter execução de código no nível de root nos populares dispositivos NAS Synology DiskStation e BeeStation, afetando milhões de aparelhos", disse a empresa holandesa.
A natureza de zero clique da vulnerabilidade significa que não é necessário nenhuma interação do usuário para desencadear a exploração, permitindo assim que os atacantes ganhem acesso aos dispositivos para roubar dados sensíveis e instalar malware adicional.
A falha impacta as seguintes versões:
BeePhotos para BeeStation OS 1.0 (Atualize para 1.0.2-10026 ou superior)
BeePhotos para BeeStation OS 1.1 (Atualize para 1.1.0-10053 ou superior)
Synology Photos 1.6 para DSM 7.2 (Atualize para 1.6.2-0720 ou superior)
Synology Photos 1.7 para DSM 7.2 (Atualize para 1.7.0-0795 ou superior)
Detalhes técnicos adicionais sobre a vulnerabilidade foram atualmente retidos para dar tempo suficiente aos clientes para aplicarem os patches.
Midnight Blue disse que há entre um e dois milhões de dispositivos Synology atualmente afetados e expostos na internet.
QNAP Corrige 3 Falhas Críticas
A divulgação ocorre enquanto a QNAP resolveu três falhas críticas que afetam o QuRouter, o SMB Service e o HBS 3 Hybrid Backup Sync, todos explorados durante o Pwn2Own -
CVE-2024-50389 - Corrigido no QuRouter 2.4.5.032 e posteriores
CVE-2024-50387 - Corrigido no SMB Service 4.15.002 e SMB Service h4.15.002, e posteriores
CVE-2024-50388 - Corrigido no HBS 3 Hybrid Backup Sync 25.1.1.673 e posteriores
Embora não haja evidências de que qualquer uma das vulnerabilidades mencionadas tenha sido explorada em ambientes reais, aconselha-se que os usuários apliquem os patches o mais breve possível, dado que os dispositivos NAS têm sido alvos de alto valor para ataques de ransomware no passado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...