«

Synology 敦促修补影响数百万台 NAS 设备的严重零点击 RCE 漏洞

时间:2024-11-6 11:03     作者:之参博客     分类: 网络相关



台湾网络附加存储 (NAS) 设备制造商 Synology 解决了影响 DiskStation 和 BeePhotos 的一个严重安全漏洞,该漏洞可能导致远程代码执行。

该零日漏洞被 Midnight Blue标记为 CVE-2024-10443 和RISK:STATION,由安全研究员 Rick de Jager 在 2024 年 Pwn2Own 爱尔兰黑客大赛上展示。

这家荷兰公司表示, RISK:STATION 是一种“未经身份验证的零点击漏洞,允许攻击者在流行的 Synology DiskStation 和 BeeStation NAS 设备上获取 root 级代码执行权限,从而影响数百万台设备” 。

该漏洞的零点击特性意味着它不需要任何用户交互来触发攻击,从而允许攻击者访问设备以窃取敏感数据并植入其他恶意软件。

该漏洞影响以下版本 -

BeePhotos for BeeStation OS 1.0(升级至 1.0.2-10026 或更高版本)
BeePhotos for BeeStation OS 1.1(升级至 1.1.0-10053 或更高版本)
Synology Photos 1.6 for DSM 7.2(升级至 1.6.2-0720 或更高版本)
Synology Photos 1.7 for DSM 7.2(升级至 1.7.0-0795 或更高版本)
目前尚未公布有关该漏洞的更多技术细节,以便让客户有足够的时间应用补丁。Midnight Blue 表示,目前有 100 万到 200 万台 Synology 设备同时受到影响并暴露在互联网上。

QNAP 修复 3 个严重漏洞#
此次披露之际,QNAP 解决了影响 QuRouter、SMB Service 和 HBS 3 Hybrid Backup Sync 的三个严重漏洞,这些漏洞均在 Pwn2Own 期间被利用 -

CVE-2024-50389 - 在 QuRouter 2.4.5.032 及更高版本中修复
CVE-2024-50387 - 已在 SMB 服务 4.15.002 和 SMB 服务 h4.15.002 及更高版本中修复
CVE-2024-50388 - 已在 HBS 3 Hybrid Backup Sync 25.1.1.673 及更高版本中修复
虽然没有证据表明上述漏洞已被利用,但建议用户尽快应用补丁,因为 NAS 设备过去曾是勒索软件攻击的高价值目标。

标签: RCE NAS