A Synology, fabricante taiwanesa de dispositivos de armazenamento conectado à rede (NAS), solucionou uma falha crítica de segurança que afetava o DiskStation e o BeePhotos e que poderia levar à execução remota de código.
Rastreado como CVE-2024-10443 e dublado RISCO: ESTAÇÃO por Midnight Blue, a falha de dia zero foi demonstrada no concurso de hackers Pwn2Own Eire 2024 pelo pesquisador de segurança Rick de Jager.
RISK:STATION é uma “vulnerabilidade não autenticada de zero clique que permite aos invasores obter execução de código no nível raiz nos populares dispositivos Synology DiskStation e BeeStation NAS, afetando milhões de dispositivos”, disse a empresa holandesa.
A natureza de zero clique da vulnerabilidade significa que ela não requer nenhuma interação do usuário para desencadear a exploração, permitindo assim que os invasores obtenham acesso aos dispositivos para roubar dados confidenciais e plantar malware adicional.
A falha afeta as seguintes versões –
Detalhes técnicos adicionais sobre a vulnerabilidade foram atualmente retidos para dar aos clientes tempo suficiente para aplicar os patches. Midnight Blue disse que há entre um e dois milhões de dispositivos Synology que estão atualmente afetados e expostos simultaneamente à Web.
QNAP corrige 3 bugs críticos
A divulgação ocorre no momento em que a QNAP resolveu três falhas críticas que afetavam o QuRouter, o SMB Service e o HBS 3 Hybrid Backup Sync, todas as quais foram exploradas durante o Pwn2Own –
- CVE-2024-50389 – Corrigido no QuRouter 2.4.5.032 e posterior
- CVE-2024-50387 – Corrigido no Serviço SMB 4.15.002 e no Serviço SMB h4.15.002 e posterior
- CVE-2024-50388 – Corrigido no HBS 3 Hybrid Backup Sync 25.1.1.673 e posterior
Embora não haja evidências de que qualquer uma das vulnerabilidades mencionadas tenha sido explorada, os usuários são aconselhados a aplicar os patches o mais rápido possível, uma vez que os dispositivos NAS foram alvos de alto valor para ataques de ransomware no passado.