Η Synology, μια ταϊβανέζικη εταιρεία κατασκευής συσκευών αποθήκευσης συνδεδεμένου με το δίκτυο (NAS), διόρθωση δύο κρίσιμων μηδενικών ημερών που εκμεταλλεύτηκαν κατά τη διάρκεια του διαγωνισμού hacking Pwn2Own της περασμένης εβδομάδας μέσα σε λίγες μέρες.
Ο ερευνητής ασφάλειας Midnight Blue, Rick de Jager, βρήκε τις κρίσιμες ευπάθειες μηδενικού κλικ (παρακολουθούνται μαζί ως CVE-2024-10443 και μεταγλωττίστηκε ΚΙΝΔΥΝΟΣ:ΣΤΑΘΜΟΣ) στο λογισμικό Synology Photos και BeePhotos για BeeStation της εταιρείας.
Όπως εξηγεί το Synology στο ασφάλεια συμβουλευτικές υπηρεσίες δημοσιεύθηκε δύο ημέρες μετά την εμφάνιση των ελαττωμάτων demoed στο Pwn2Own Ireland 2024 για να παραβιάσουν μια συσκευή Synology BeeStation BST150-4T, τα ελαττώματα ασφαλείας επιτρέπουν στους απομακρυσμένους εισβολείς να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα ως root σε ευάλωτες συσκευές NAS που εκτίθενται στο διαδίκτυο.
“Η ευπάθεια ανακαλύφθηκε αρχικά, μέσα σε λίγες μόνο ώρες, ως αντικατάσταση μιας άλλης υποβολής Pwn2Own. Το ζήτημα αποκαλύφθηκε στη Synology αμέσως μετά την επίδειξη και μέσα σε 48 ώρες έγινε διαθέσιμη μια ενημέρωση κώδικα που επιλύει την ευπάθεια.” είπε το Midnight Blue.
“Ωστόσο, δεδομένου ότι η ευπάθεια έχει μεγάλες πιθανότητες για εγκληματική κατάχρηση και εκατομμύρια συσκευές επηρεάζονται, έγινε μια προσέγγιση μέσων ενημέρωσης για την ενημέρωση των ιδιοκτητών συστημάτων για το ζήτημα και για να τονιστεί ότι απαιτούνται άμεσες μετριαστικές ενέργειες.”
Η Synology λέει ότι αντιμετώπισε τα τρωτά σημεία στις ακόλουθες εκδόσεις λογισμικού. Ωστόσο, δεν εφαρμόζονται αυτόματα σε ευάλωτα συστήματα και συνιστάται στους πελάτες να ενημερώσουν το συντομότερο δυνατό για να αποκλείσουν πιθανές εισερχόμενες επιθέσεις:
- BeePhotos για BeeStation OS 1.1: Αναβάθμιση σε 1.1.0-10053 ή νεότερη έκδοση
- BeePhotos για BeeStation OS 1.0: Αναβάθμιση σε 1.0.2-10026 ή νεότερη έκδοση
- Synology Photos 1.7 για DSM 7.2: Αναβάθμιση σε 1.7.0-0795 ή νεότερη έκδοση.
- Synology Photos 1.6 για DSM 7.2: Αναβάθμιση σε 1.6.2-0720 ή νεότερη έκδοση.
Η QNAP, ένας άλλος κατασκευαστής συσκευών NAS της Ταϊβάν, επιδιορθώθηκε δύο ακόμη κρίσιμες μηδενικές ημέρες που εκμεταλλεύτηκαν κατά τη διάρκεια του διαγωνισμού hacking μέσα σε μια εβδομάδα (στη λύση αποκατάστασης καταστροφών και δημιουργίας αντιγράφων ασφαλείας δεδομένων της υπηρεσίας SMB Service και Hybrid Backup Sync της εταιρείας).
Ενώ η Synology και η QNAP έσπευσαν να πραγματοποιήσουν ενημερώσεις ασφαλείας, δίνονται στους προμηθευτές 90 ημέρες έως ότου η Trend Micro’s Zero Day Initiative δημοσιεύσει λεπτομέρειες σχετικά με σφάλματα που αποκαλύφθηκαν κατά τη διάρκεια του διαγωνισμού και συνήθως αφιερώνουν χρόνο για να εκδώσουν ενημερώσεις κώδικα.
Αυτό είναι πιθανό επειδή οι συσκευές NAS χρησιμοποιούνται συνήθως για την αποθήκευση ευαίσθητων δεδομένων τόσο από οικιακούς όσο και από εταιρικούς πελάτες και επίσης συχνά εκτίθενται σε πρόσβαση στο Διαδίκτυο για απομακρυσμένη πρόσβαση. Ωστόσο, αυτό τους καθιστά ευάλωτους στόχους για εγκληματίες του κυβερνοχώρου που εκμεταλλεύονται αδύναμους κωδικούς πρόσβασης ή ευπάθειες για να παραβιάσουν τα συστήματα, να κλέψουν δεδομένα, να κρυπτογραφήσουν αρχεία και να εκβιάσουν τους κατόχους απαιτώντας λύτρα για να παρέχουν πρόσβαση στα χαμένα αρχεία.
Ως ερευνητές ασφαλείας Midnight Blue που παρουσίασαν το Synology zero-days κατά τη διάρκεια του Pwn2Own Ireland 2024 είπε ο δημοσιογράφος κυβερνοασφάλειας Kim Zetter (που ανέφερε πρώτος για τις ενημερώσεις ασφαλείας), βρήκαν συσκευές Synology NAS εκτεθειμένες στο Διαδίκτυο στα δίκτυα αστυνομικών τμημάτων στις ΗΠΑ και την Ευρώπη, καθώς και εργολάβους κρίσιμων υποδομών από τη Νότια Κορέα, την Ιταλία και τον Καναδά.
Η QNAP και η Synology έχουν προειδοποιήσει τους πελάτες εδώ και χρόνια ότι οι συσκευές που εκτίθενται στο διαδίκτυο γίνονται στόχος επιθέσεων ransomware. Για παράδειγμα, το eCh0raix ransomware (γνωστό και ως QNAPCrypt), το οποίο εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2016, στοχεύει τακτικά τέτοια συστήματα, με δύο μεγάλης κλίμακας που αναφέρθηκαν τον Ιούνιο του 2019 (σε συσκευές QNAP και Synology) και τον Ιούνιο του 2020 να ξεχωρίζουν.
Σε πιο πρόσφατα κύματα επίθεσης, οι φορείς απειλών έχουν χρησιμοποιήσει επίσης άλλα στελέχη κακόβουλου λογισμικού (συμπεριλαμβανομένων των ransomware DeadBolt και Checkmate) και διάφορες ευπάθειες ασφαλείας για την κρυπτογράφηση συσκευών NAS που εκτίθενται στο Διαδίκτυο.
VIA: bleepingcomputer.com
