Af Eskil Sørensen, 04/01/23
Synology har informeret sine kunder om, at der udgivet patches til kritiske sårbarheder i routerprodukterne.
Det skriver Security Week og en række andre medier med henvisning til to meddelelser, der blev udsendt i slutningen af december.
I den ene meddelelse beskrives en sårbarhed, der påvirker Synology VPN Plus Server, som gør routere til en avanceret VPN-server. Sårbarheden har id’et CVE-2022-43931, er et out-of-bounds write problem i funktionaliteten til fjernskrivebordet på VPN Plus Server. Det kan tillade en fjernangriber at udføre vilkårlige kommandoer – af hvilken grund den har fået en maksimal CVSS-score på 10.
I den anden meddelelse er der henvisning til en advisory, der beskriver en sårbarhed, der påvirker Synology Router Manager (SRM), hvilket er det operativsystem, der driver virksomhedens routere. Fejlene kan udnyttes til vilkårlig afvikling af kommandoer, DoS-angreb (denial-of-service) og læsning af vilkårlige filer.
Det fremgår af Security Affairs, at udnyttelsen af fejl i Router Manager blev demonstreret under hackerkonkurrencen Pwn2Own i Toronto 2022 og rapporteret gennem Trend Micros Zero Day Initiative.
Synology har base i Taiwan og udbyder netværks- og lagringsløsninger.
Links:
https://www.bleepingcomputer.com/news/security/synology-fixes-maximum-severity-vulnerability-in-vpn-routers/
https://www.synology.com/en-us/security/advisory/Synology_SA_22_26
https://www.securityweek.com/critical-vulnerabilities-patched-synology-routers
https://securityaffairs.com/140288/security/synology-fixes-critical-flaws-routers.html