Μια σοβαρή ευπάθεια στο DiskStation Manager (DSM) της Synology επιτρέπει σε απομακρυσμένους επιτιθέμενους να εκτελούν αυθαίρετο κώδικα χωρίς καμία αλληλεπίδραση από τον χρήστη.
Δείτε επίσης: Κρίσιμη ευπάθεια PHP RCE χρησιμοποιείται σε νέες επιθέσεις
Η αδυναμία, που αποκαλύφθηκε κατά τη διάρκεια του PWN2OWN 2024, αξιολογήθηκε με βαθμό Κρίσιμης σοβαρότητας και έλαβε σκορ CVSS 9.8, υποδεικνύοντας την πιθανότητά της για εκτενή εκμετάλλευση.
Η κύρια ευπάθεια, που έχει αναγνωριστεί ως CVE-2024-10441, προέρχεται από την ακατάλληλη κωδικοποίηση ή διαφυγή εξόδου στον deamon του συστήματος plugin.
Αυτή η σοβαρή αδυναμία επηρεάζει πολλά προϊόντα της Synology, συμπεριλαμβανομένων των εκδόσεων DSM που είναι παλαιότερες από τις καθορισμένες διορθωμένες εκδόσεις, του BeeStation Manager (BSM) και του Synology Unified Controller (DSMUC).
Αυτή η ευπάθεια συνιστά ένα από τα πιο σοβαρά ζητήματα ασφάλειας που έχουν εντοπιστεί στα προϊόντα της Synology φέτος. Με βαθμολογία CVSS 9.8 και χωρίς να απαιτείται αυθεντικοποίηση χρήστη, οι επιτιθέμενοι θα μπορούσαν ενδεχομένως να αποκτήσουν πλήρη έλεγχο των ευάλωτων συστημάτων.
Δείτε ακόμα: Ευπάθεια zero-day του BigAnt server επιτρέπει εκτέλεση κακόβουλου κώδικα
Η Synology κυκλοφόρησε ενημερώσεις κώδικα για όλα τα επηρεαζόμενα προϊόντα. Συνιστάται στους χρήστες να ενημερώσουν τις ακόλουθες εκδόσεις:
DSM 7.2.2: Αναβάθμιση σε 7.2.2-72806-1 ή νεότερη έκδοση
DSM 7.2.1: Αναβάθμιση σε 7.2.1-69057-6 ή νεότερη έκδοση
DSM 7.2: Αναβάθμιση σε 7.2-64570-4 ή νεότερη έκδοση
DSM 7.1: Αναβάθμιση σε 7.1.1-42962-7 ή νεότερη έκδοση
DSM 6.2: Αναβάθμιση σε 6.2.4-25556-8 ή νεότερη έκδοση
DSMUC 3.1: Αναβάθμιση σε 3.1.4-23079 ή νεότερη έκδοση
Συγκεκριμένα, δεν υπάρχουν διαθέσιμα μέτρα μετριασμού εκτός από την εφαρμογή των ενημερώσεων, υπογραμμίζοντας τη σημασία της άμεσης ενημέρωσης κώδικα.
Λαμβάνοντας υπόψη τη σοβαρότητα και την απομακρυσμένη εκμεταλλευσιμότητα του CVE-2024-10441, οι οργανισμοί και τα άτομα που χρησιμοποιούν συσκευές Synology NAS θα πρέπει να θεωρήσουν αυτή την ενημέρωση ως επείγουσα επιδιόρθωση. Τα εκτεθειμένα και μη ενημερωμένα συστήματα ενδέχεται να παραβιαστούν μέσω αυτοματοποιημένων σαρώσεων και προσπαθειών εκμετάλλευσης.
Η Synology κυκλοφόρησε αρχικά αυτήν την συμβουλή ασφαλείας στις 5 Νοεμβρίου 2024, με επακόλουθες ενημερώσεις που κυκλοφόρησαν ενημερώσεις κώδικα για διάφορες σειρές προϊόντων.
Δείτε επίσης: Κρίσιμη ευπάθεια του Kibana επιτρέπει εκτέλεση αυθαίρετου κώδικα
Η εκτέλεση αυθαίρετου κώδικα αναφέρεται στην ικανότητα ή ενέργεια εκτέλεσης κώδικα από έναν χρήστη ή ένα σύστημα χωρίς να υπάρχει κάποιος έλεγχος ή περιορισμός σχετικά με την προέλευσή του. Σε πολλές περιπτώσεις, αυτό γίνεται με τη μορφή εκτέλεσης κακόβουλου κώδικα, ο οποίος μπορεί να είναι επιβλαβής για ένα σύστημα ή να παραβιάσει την ασφάλεια του υπολογιστή ή του δικτύου. Η εκτέλεση αυθαίρετου κώδικα μπορεί να οδηγήσει σε σοβαρές συνέπειες, όπως την κλοπή δεδομένων, την καταστροφή ή αλλοίωση πληροφοριών, ή ακόμα και την πλήρη παραβίαση ενός υπολογιστικού συστήματος.
Πηγή: cybersecuritynews
 της Synology επιτρέπει στους απομακρυσμένους εισβολείς να εκτελούν αυθαίρετο κώδικα.){kind=link}