Tayvan merkezli NAS Maker Synology, VPN sunucuları olarak çalıştırılması için yapılandırılmış yönlendiricileri etkileyen maksimum (10/10) şiddet açısından ele alınmıştır.
CVE-2022-43931 olarak izlenen güvenlik açığı, Synology'nin VPN Plus sunucu yazılımındaki ürün güvenliği olay müdahale ekibi (PSIRT) tarafından dahili olarak keşfedildi ve şirket tarafından 10'luk maksimum CVSS3 taban puanı verildi.
VPN Plus Server, yöneticilerin yönlendiricinin arkasındaki kaynaklara uzaktan erişime izin vermek için yöneticilerin sinoloji yönlendiricilerini bir VPN sunucusu olarak ayarlamasını sağlayan bir sanal özel ağ sunucusudur.
Güvenlik açığı, hedeflenen yönlendiriciler veya kullanıcı etkileşimi üzerinde ayrıcalıklara ihtiyaç duymadan düşük karmaşık saldırılarda kullanılabilir.
Synology, Cuma günü yayınlanan bir güvenlik danışmanında, "Güvenlik açığı, uzak saldırganların Synology VPN Plus sunucusunun duyarlı bir sürümü aracılığıyla olası keyfi komutu yürütmesine izin veriyor." Dedi.
"Sinoloji VPN Plus sunucusunda uzaktan masaüstü işlevselliğinde 1.4.3-0534 ve 1.4.4-0635'ten önce uzak masaüstü işlevselliğinde güvenlik açığı yazıyor.
Bağlantısız yazma güvenlik açıkları, veri bozulması, sistem çökmeleri ve hafıza yolsuzluğunun ardından kod yürütme gibi ciddi etkilere neden olabilir.
Synology, hatayı düzeltmek için güvenlik güncellemeleri yayınladı ve müşterilere SRM (Synology Router Manager) için VPN Plus sunucusunu kullanılabilir en son sürüme yükseltmelerini tavsiye ediyor.
Geçen ay, Synology kritik bir ciddiyet olarak derecelendirilen ikinci bir danışmanlık yayınladı ve Synology Router Manager'da birden fazla güvenlik açığı yamaladığını açıkladı.
Şirket, "Birden fazla güvenlik açığı, uzak saldırganların keyfi komuta yürütmesine, hizmet reddi saldırılarını yürütmesine veya Synology Router Manager'ın (SRM) duyarlı bir sürümü aracılığıyla keyfi dosyaları okumasına izin veriyor." Dedi.
Synology, güvenlik kusurlarının CVE kimliklerini listelemese de, birden fazla araştırmacı ve ekip, yamalı hataları bildirmek için kredilendirilir, en az ikisi PWN2OWN'ın ilk gününde Sinoloji RT6600AX yönlendiricisini hedefleyen sıfır gün istismarlarını başarılı bir şekilde demo etti Toronto 2022 Hacking Yarışması.
Gaurav Baruah, Synology RT6600AX'ın WAN arayüzüne karşı komuta enjeksiyon saldırısı yürütmek için 20.000 dolar kazandı.
Kritik Aralık danışmanlığına da yatırılan Computest, aynı sinoloji yönlendiricisinin LAN arayüzünü hedefleyen bir komut enjeksiyon kök kabuğu istismarını demo etti.
Netgear, kullanıcıları yakın zamanda sabit wifi yönlendirici hatasını yamaya uyarlar
Bilgisayar korsanları kritik Citrix ADC ve Gateway Zero Günü'nden yararlanıyor, şimdi yama
F5, Big-IP'de iki uzaktan kod yürütme kusurunu düzeltir
Araştırmacılar, sahne arkası öncesi RCE Bug için istismar ayrıntılarını yayınladı
200 milyon Twitter kullanıcısının e -posta adreslerinin çevrimiçi sızdırıldığı iddia edildi
Kaynak: Bleeping Computer