Synology a publié des mises à jour de sécurité pour corriger une faille critique affectant VPN Plus Server qui pourrait être exploitée pour prendre le contrôle des systèmes affectés.
Suivie sous le nom de CVE-2022-43931, la vulnérabilité porte un indice de gravité maximum de 10 sur l’échelle CVSS et a été décrite comme un bogue d’écriture hors limites dans la fonctionnalité de bureau à distance de Synology VPN Plus Server.
L’exploitation réussie du problème « permet aux attaquants distants d’exécuter des commandes arbitraires via des vecteurs non spécifiés », a déclaré la société taïwanaise, ajoutant qu’il avait été découvert en interne par son équipe de réponse aux incidents de sécurité des produits (PSIRT).
Les utilisateurs de VPN Plus Server pour Synology Router Manager (SRM) 1.2 et VPN Plus Server pour SRM 1.3 sont invités à mettre à jour vers les versions 1.4.3-0534 et 1.4.4-0635, respectivement.
Le fabricant d’appareils de stockage en réseau, dans un deuxième avis, a également mis en garde contre plusieurs failles dans SRM qui pourraient permettre à des attaquants distants d’exécuter des commandes arbitraires, de mener des attaques par déni de service ou de lire des fichiers arbitraires.
Les détails exacts sur les vulnérabilités n’ont pas été divulgués, les utilisateurs étant invités à passer aux versions 1.2.5-8227-6 et 1.3.1-9346-3 pour atténuer les menaces potentielles.
Gaurav Baruah, Lukas Kupczyk de CrowdStrike, le chercheur DEVCORE Orange Tsai et la société de sécurité informatique néerlandaise Computest ont été crédités pour avoir signalé les faiblesses.
Il convient de noter que certaines des vulnérabilités ont été démontrées lors du concours Pwn2Own 2022 qui s’est tenu du 6 au 9 décembre 2022 à Toronto.
Baruah a gagné 20 000 $ pour une attaque par injection de commande contre l’interface WAN du Synology RT6600ax, tandis que Computest a gagné 5 000 $ pour un exploit de shell racine par injection de commande visant son interface LAN.