2024/11/05

Synology corrige falhas reveladas no Pwn2Own

A Synology lançou patches para corrigir duas vulnerabilidades zero-day críticas, reveladas na competição de hacking Pwn2Own.

Descobertas pelo investigador de segurança Rick de Jager da Midnight Blue, estas vulnerabilidades zero-click - designadas RISK:STATION e identificadas como CVE-2024-10443 – afectavam o Synology Photos e o BeePhotos para BeeStation. Conforme o aviso de segurança da Synology, as vulnerabilidades permitiam que hackers obtivessem acesso root a dispositivos Synology BeeStation expostos online.

Tendo em conta o grau de risco, a que se soma o factor dos dispositivos NAS serem dos mais desejados para efectuar todo o tipo de ataques, a Synology reagiu rapidamente, disponibilizando correcções 48 horas após a demonstração. No entanto, são actualizações que não são feitas de forma automática, ficando dependentes dos utilizadores com dispositivos Synology fazerem a procura e aplicação manual das mesmas:
  • BeePhotos for BeeStation OS 1.1: Upgrade to 1.1.0-10053 or above
  • BeePhotos for BeeStation OS 1.0: Upgrade to 1.0.2-10026 or above
  • Synology Photos 1.7 for DSM 7.2: Upgrade to 1.7.0-0795 or above
  • Synology Photos 1.6 for DSM 7.2: Upgrade to 1.6.2-0720 or above
Não se pense que isto deixou a QNAP a rir-se desta sua rival, pois também a QNAP sofreu com vulnerabilidades para os seus produtos demonstradas no mesmo evento, tendo também disponibilizado actualizações para resolver as falhas.

Uma vez que não é possível assegurar que um qualquer produto seja 100% seguro, e tendo em conta o elevado risco de um ataque num NAS, a regra principal continua a ser não deixar um NAS exposto e acessível através da internet. Se houver necessidade de aceder ao NAS remotamente, será preferível explorar opções mais seguras, como através de uma ligação VPN para uma rede local onde o NAS esteja acessível, mas evitando que o mesmo fique a uma vulnerabilidade de distância de poder ser atacado por um hacker. Sabendo-se a dor de cabeça que é ter um computador atacado por ransomware, imagine-se só se isso se aplicar a um NAS que acumula toda a informação mais importante de uma pessoa, família, ou empresa.

Sem comentários:

Enviar um comentário (problemas a comentar?)