Synology, un fabricant taïwanais d’appliances de stockage en réseau (NAS), a corrigé en quelques jours deux jours zéro critiques exploités lors du concours de piratage Pwn2Own de la semaine dernière.
Rick de Jager, chercheur en sécurité de Midnight Blue, a découvert les vulnérabilités critiques sans clic (répertoriées sous le numéro CVE-2024-10443 et surnommées RISK: STATION) dans les photos Synology et les photos BeePhotos de la société pour le logiciel BeeStation.
Comme Synology l’explique dans des avis de sécurité publiés deux jours après la démonstration des failles lors de Pwn2Own Ireland 2024 pour détourner un appareil Synology BeeStation BST150-4T, les failles de sécurité permettent aux attaquants distants d’obtenir l’exécution de code à distance en tant que root sur des appliances NAS vulnérables exposées en ligne.
« La vulnérabilité a été initialement découverte, en quelques heures seulement, en remplacement d’une autre soumission Pwn2Own. Le problème a été divulgué à Synology immédiatement après la démonstration, et dans les 48 heures, un correctif a été mis à disposition pour résoudre la vulnérabilité », a déclaré Midnight Blue.
« Cependant, étant donné que la vulnérabilité présente un potentiel élevé d’abus criminels et que des millions d’appareils sont affectés, une communication avec les médias a été faite pour informer les propriétaires de systèmes du problème et souligner le fait que des mesures d’atténuation immédiates sont nécessaires. »
Synology dit qu’il a corrigé les vulnérabilités dans les versions logicielles suivantes; cependant, ils ne sont pas automatiquement appliqués sur les systèmes vulnérables, et il est conseillé aux clients de mettre à jour dès que possible pour bloquer les attaques potentielles entrantes:
- Photos d’abeilles pour Bee Station OS 1.1: Mise à niveau vers 1.1.0-10053 ou supérieur
- Photos d’abeilles pour Bee Station OS 1.0: Mise à niveau vers 1.0.2-10026 ou supérieur
- Synology Photos 1.7 pour DSM 7.2: Mise à niveau vers 1.7.0-0795 ou version ultérieure.
- Synology Photos 1.6 pour DSM 7.2: Mise à niveau vers 1.6.2-0720 ou version ultérieure.
QNAP, un autre fabricant taïwanais d’appareils NAS, a corrigé deux autres zero-days critiques exploités lors du concours de piratage en une semaine (dans le service SMB de l’entreprise et la solution de reprise après sinistre et de sauvegarde de données Hybrid Backup SYNC).
Alors que Synology et QNAP se sont dépêchés de publier des mises à jour de sécurité, les fournisseurs disposent de 90 jours jusqu’à ce que l’initiative Zero Day de Trend Micro publie des détails sur les bogues divulgués pendant le concours et prennent généralement leur temps pour publier les correctifs.
Cela est probablement dû au fait que les périphériques NAS sont couramment utilisés pour stocker des données sensibles par les clients particuliers et professionnels, et qu’ils sont également souvent exposés à un accès Internet pour un accès à distance. Cependant, cela en fait des cibles vulnérables pour les cybercriminels qui exploitent des mots de passe faibles ou des vulnérabilités pour violer les systèmes, voler des données, chiffrer des fichiers et extorquer des propriétaires en exigeant des rançons pour donner accès aux fichiers perdus.
En tant que chercheurs en sécurité Bleu nuit qui ont fait la démonstration des zero-days Synology lors de Pwn2Own Ireland 2024, ils ont trouvé des périphériques NAS Synology exposés à Internet sur les réseaux des services de police aux États-Unis et en Europe, ainsi que des entrepreneurs d’infrastructures critiques de Corée du Sud, d’Italie et du Canada.
QNAP et Synology avertissent les clients depuis des années que les appareils exposés en ligne sont ciblés par des attaques de ransomware. Par exemple, le ransomware eCh0raix (également connu sous le nom de QNAPCrypt), apparu pour la première fois en juin 2016, cible régulièrement de tels systèmes, avec deux systèmes à grande échelle signalés en juin 2019 (contre les appareils QNAP et Synology) et en juin 2020 se démarquant.
Lors de vagues d’attaques plus récentes, les auteurs de menaces ont également utilisé d’autres souches de logiciels malveillants (y compris les ransomwares DeadBolt et Checkmate) et diverses vulnérabilités de sécurité pour crypter les périphériques NAS exposés à Internet.