Synology ha reparado una vulnerabilidad descubierta en el software de su enrutador, que ha sido clasificada como de máxima gravedad: 10/10.
Según un aviso publicado por el fabricante de NAS, la vulnerabilidad se descubrió en su software VPN Plus Server y ahora se rastrea como CVE-2022-43931.
El software permite que los enrutadores se configuren como servidores VPN y permite el acceso remoto a los puntos finales detrás de ese enrutador.
Ejecución remota de código y otros problemas
Aparentemente, los actores de amenazas pueden explotar la falla en ataques de baja complejidad y no requerirían ningún privilegio o interacción del usuario para obtener acceso, con una extensa lista de daños potenciales.
«Una vulnerabilidad permite a los atacantes remotos ejecutar un comando arbitrario a través de una versión susceptible de Synology VPN Plus Server», se lee en el aviso. «Vulnerabilidad de escritura fuera de los límites en la funcionalidad de escritorio remoto en Synology VPN Plus Server antes de 1.4.3-0534 y 1.4.4-0635 permite a atacantes remotos ejecutar comandos arbitrarios a través de vectores no especificados».
Las vulnerabilidades de escritura fuera de los límites permiten la corrupción de datos, fallas del sistema, así como la ejecución de código después de la corrupción de la memoria. BleepingEquipo explicado.
Esta no es la primera vez que Synology ha tenido que abordar una vulnerabilidad de alta gravedad en sus productos, ya que en diciembre de 2022 parchó varias fallas de este tipo descubiertas en su Router Manager.
«Múltiples vulnerabilidades permiten a los atacantes remotos ejecutar comandos arbitrarios, realizar ataques de denegación de servicio o leer archivos arbitrarios a través de una versión susceptible de Synology Router Manager (SRM)», dijo la compañía en ese momento.
No se publicaron CVE para estas vulnerabilidades, pero sabemos que al menos dos expertos y equipos de seguridad lograron crear una prueba de concepto utilizando el Synology RT6600ax (se abre en una pestaña nueva) router, durante el concurso de hacking Pwn2Own Toronto 2022.
El investigador de seguridad cibernética Gaurav Baruah recibió $ 20,000 por ejecutar con éxito un ataque de inyección de comandos contra la interfaz WAN de Synology RT6600ax.
En abril del año pasado, la compañía anunció la corrección de una serie de fallas que afectan a múltiples productos: «Múltiples vulnerabilidades permiten a los atacantes remotos obtener información confidencial y posiblemente ejecutar código arbitrario a través de una versión susceptible de Synology DiskStation Manager (DSM) y Synology Router Manager (SRM). ”, dijo la firma en un aviso en ese entonces.
Vía: BleepingComputer (se abre en una pestaña nueva)