Synology敦促修复影响数百万台NAS设备的严重零点击RCE漏洞

NAS设备制造商群晖(Synology)已经解决了影响DiskStation和BeePhotos的一个可能导致远程代码执行的关键安全漏洞。

这个零日漏洞被追踪为CVE-2024-10443,并被Midnight Blue称为RISK:STATION,由安全研究员Rick de Jager在Pwn2Own Ireland 2024黑客大赛上展示。

RISK:STATION是一个 “未经验证的零点击漏洞,允许攻击者在流行的群晖DiskStation和BeeStation NAS设备上执行root级代码,影响数百万台设备。

该漏洞的零点击性质意味着它不需要任何用户交互来触发利用,从而允许攻击者访问设备以窃取敏感数据并植入额外的恶意软件。

该漏洞影响以下版本

  • BeePhotos for BeeStation OS 1.0(升级至 1.0.2-10026 或更高版本)
  • 適用於 BeeStation OS 1.1 的 BeePhotos (升級至 1.1.0-10053 或以上版本)
  • Synology Photos 1.6 for DSM 7.2 (升級至 1.6.2-0720 或以上)
  • Synology Photos 1.7 for DSM 7.2 (升級至 1.7.0-0795 或以上版本)

为了让用户有足够的时间应用补丁,有关该漏洞的其他技术细节目前暂未公布。Midnight Blue表示,目前有100万到200万台Synology设备同时受到影响并暴露在互联网上。

QNAP 修补了 3 个关键漏洞

QNAP解决了影响QuRouter、SMB服务和HBS 3混合备份同步的三个关键漏洞,所有这些漏洞都在Pwn2Own中被利用。

  • CVE-2024-50389 – 已在 QuRouter 2.4.5.032 及更新版本中修复
  • CVE-2024-50387 – 已於 SMB Service 4.15.002 及 SMB Service h4.15.002 及更新版本中修復
  • CVE-2024-50388 – 已在 HBS 3 Hybrid Backup Sync 25.1.1.673 及更新版本中修復

虽然没有证据表明上述任何漏洞已在野外被利用,但鉴于 NAS 设备过去一直是勒索软件攻击的高价值目标,建议用户尽快应用这些补丁。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐