Synology łata dziury wykryte w urządzeniach NAS

Firma udostępniła szereg łat likwidujących dziury znajdujące się w oprogramowaniu zarządzającym jej urządzeniami NAS (Network Attached Storage), w tym jedną szczególnie groźną, która pozwala hakerom przejmować kontrolę nad takimi urządzeniami i wykradać przechowywane na nich dane.

Najgroźniejsza z tych dziur – wykryta przez informatyków pracujących w holenderskiej firmie Securify - zlokalizowana jest w linuksowym oprogramowaniu DiskStation Manager (DSM), a konkretnie w świadczonej przez ten interfejs usłudze Synology Photo Station. Pozwala ona użytkownikom zakładać na urządzeniach NAS albumy zawierające fotografie, do których zdalni użytkownicy mogą uzyskiwać dostęp za pośrednictwem Internetu i protokołu IP.

Usługa Synology Photo Station jest ponadto podatna na ataki typu CSRF (Cross-Site Request Forgery). To technika, która pozwala witrynie WWW zmusić odwiedzającą ją przeglądarkę do zaatakowania złośliwym kodem inną witrynę. Efekt jest taki, że nawet wtedy gdy urządzenie NAS zostanie skonfigurowane w taki sposób, aby żaden zdalny użytkownik nie mógł do niego uzyskać dostępu za pośrednictwem Internetu, haker może dalej – stosując odpowiednią technikę ataku – przejąć nad nim kontrolę.

Zobacz również:

Synology zlikwidował już tę dziurę, udostępniając w zeszłym tygodniu użytkownikom oprogramowanie Synology Photo Station wersja 6.3-2945. Oprogramowanie to zawiera też łaty, które uodparniają urządzenia NAS na inne ataki, tym razem typu XSS (Cross-Site Scripting).

Inna dziura pozwalająca inicjować podobne ataki – zlokalizowana wcześniej w interfejsie zarządzania DiskStation Manager – została załatana w połowie maja tego roku, gdy Synology udostępnił użytkownikom wersję 5.2-5565 Update 1 tego oprogramowania. Firma zaleciła wtedy administratorom, aby jak najszybciej przeszli na tę wersję interfejsy DSM.

Urządzenia NAS firmy Synology były już wcześniej atakowane przez hakerów. Użytkownikom dała się szczególnie we znaki jedna z dziura wykryty w zeszłym roku. Hakerzy użyli jej do atakowania urządzeń NAS złośliwym oprogramowaniem typu ransomware. Szyfrowało ono dane przechowywane na dyskach twardych i żądało od użytkownika urządzenia pieniędzy za od odszyfrowanie.


TOP 200