Tech

Synology pede correção para falha crítica de RCE de clique zero que afeta milhões de dispositivos NAS

Dispositivos NAS

A Synology, fabricante taiwanesa de dispositivos de armazenamento conectado à rede (NAS), solucionou uma falha crítica de segurança que afetava o DiskStation e o BeePhotos e que poderia levar à execução remota de código.

Rastreado como CVE-2024-10443 e dublado RISCO: ESTAÇÃO por Midnight Blue, a falha de dia zero foi demonstrada no concurso de hackers Pwn2Own Eire 2024 pelo pesquisador de segurança Rick de Jager.

RISK:STATION é uma “vulnerabilidade não autenticada de zero clique que permite aos invasores obter execução de código no nível raiz nos populares dispositivos Synology DiskStation e BeeStation NAS, afetando milhões de dispositivos”, disse a empresa holandesa.

A natureza de zero clique da vulnerabilidade significa que ela não requer nenhuma interação do usuário para desencadear a exploração, permitindo assim que os invasores obtenham acesso aos dispositivos para roubar dados confidenciais e plantar malware adicional.

Cibersegurança

A falha afeta as seguintes versões –

Detalhes técnicos adicionais sobre a vulnerabilidade foram atualmente retidos para dar aos clientes tempo suficiente para aplicar os patches. Midnight Blue disse que há entre um e dois milhões de dispositivos Synology que estão atualmente afetados e expostos simultaneamente à Web.

QNAP corrige 3 bugs críticos

A divulgação ocorre no momento em que a QNAP resolveu três falhas críticas que afetavam o QuRouter, o SMB Service e o HBS 3 Hybrid Backup Sync, todas as quais foram exploradas durante o Pwn2Own –

  • CVE-2024-50389 – Corrigido no QuRouter 2.4.5.032 e posterior
  • CVE-2024-50387 – Corrigido no Serviço SMB 4.15.002 e no Serviço SMB h4.15.002 e posterior
  • CVE-2024-50388 – Corrigido no HBS 3 Hybrid Backup Sync 25.1.1.673 e posterior

Embora não haja evidências de que qualquer uma das vulnerabilidades mencionadas tenha sido explorada, os usuários são aconselhados a aplicar os patches o mais rápido possível, uma vez que os dispositivos NAS foram alvos de alto valor para ataques de ransomware no passado.

Artigos relacionados

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button