Synology修补影响数百万NAS设备的RCE漏洞

发布时间:2024-11-24 14:25

台湾网络连接存储(NAS)设备制造商Synology已经解决了影响DiskStation和BeePhotos的严重安全缺陷，该缺陷可能导致远程代码执行。

此零日漏洞被追踪为CVE-2024-10443，并由Midnight Blue团队命名为“RISK:STATION”。在安全研究员Rick de Jager于Pwn2Own Ireland 2024黑客大赛上的演示中，该漏洞得以曝光。

Midnight Blue团队表示，RISK:STATION是一个“未经身份验证的零点击漏洞，它允许攻击者在流行的群晖DiskStation和BeeStation NAS设备上获得root级别的代码执行权限，影响数百万台设备”。

该漏洞的零点击特性意味着其触发无需任何用户交互，从而允许攻击者访问设备以窃取敏感数据并植入额外的恶意软件。受影响的版本包括：

• BeeStation OS 1.0的BeePhotos(升级到1.0.2-10026或更高版本)

• BeeStation OS 1.1的BeePhotos(升级到1.1.0-10053或更高版本)

• DSM 7.2的Synology Photos 1.6(升级到1.6.2-0720或更高版本)

• DSM 7.2的Synology Photos 1.7(升级到1.7.0-0795或更高版本)

目前，有关该漏洞的额外技术细节已被保密，以便为客户留出足够的时间应用补丁。Midnight Blue表示，目前有一到两百万台群晖设备同时受到影响且暴露在互联网上。

QNAP修复三个关键漏洞

与此同时，QNAP也解决了影响其QuRouter、SMB服务和HBS 3 Hybrid Backup Sync的三个关键漏洞，这些漏洞均在Pwn2Own大赛中被利用：

• CVE-2024-50389 - 在QuRouter 2.4.5.032及更高版本中修复

• CVE-2024-50387 - 在SMB Service 4.15.002、SMB Service h4.15.002及更高版本中修复

• CVE-2024-50388 - 在HBS 3 Hybrid Backup Sync 25.1.1.673及更高版本中修复

尽管目前没有证据表明上述漏洞已在现实中被利用，但鉴于NAS设备过去已成为勒索软件攻击的高价值目标，建议用户尽快应用补丁。