台湾网络附加存储 (NAS) 设备制造商 Synology 解决了影响 DiskStation 和 BeePhotos 的一个严重安全漏洞，该漏洞可能导致远程代码执行。

该零日漏洞被 Midnight Blue标记为 CVE-2024-10443 和RISK:STATION，由安全研究员 Rick de Jager 在 2024 年 Pwn2Own 爱尔兰黑客大赛上展示。

这家荷兰公司表示， RISK:STATION 是一种“未经身份验证的零点击漏洞，允许攻击者在流行的 Synology DiskStation 和 BeeStation NAS 设备上获取 root 级代码执行权限，从而影响数百万台设备” 。

该漏洞的零点击特性意味着它不需要任何用户交互来触发攻击，从而允许攻击者访问设备以窃取敏感数据并植入其他恶意软件。

该漏洞影响以下版本 -

BeePhotos for BeeStation OS 1.0（升级至 1.0.2-10026 或更高版本）
BeePhotos for BeeStation OS 1.1（升级至 1.1.0-10053 或更高版本）
Synology Photos 1.6 for DSM 7.2（升级至 1.6.2-0720 或更高版本）
Synology Photos 1.7 for DSM 7.2（升级至 1.7.0-0795 或更高版本）
目前尚未公布有关该漏洞的更多技术细节，以便让客户有足够的时间应用补丁。Midnight Blue 表示，目前有 100 万到 200 万台 Synology 设备同时受到影响并暴露在互联网上。

QNAP 修复 3 个严重漏洞#
此次披露之际，QNAP 解决了影响 QuRouter、SMB Service 和 HBS 3 Hybrid Backup Sync 的三个严重漏洞，这些漏洞均在 Pwn2Own 期间被利用 -

CVE-2024-50389 - 在 QuRouter 2.4.5.032 及更高版本中修复
CVE-2024-50387 - 已在 SMB 服务 4.15.002 和 SMB 服务 h4.15.002 及更高版本中修复
CVE-2024-50388 - 已在 HBS 3 Hybrid Backup Sync 25.1.1.673 及更高版本中修复
虽然没有证据表明上述漏洞已被利用，但建议用户尽快应用补丁，因为 NAS 设备过去曾是勒索软件攻击的高价值目标。