Synology敦促修复影响数百万台NAS设备的严重零点击RCE漏洞

阅读量40654

发布时间 : 2024-11-06 14:24:15

x
译文声明

本文是翻译文章,文章原作者 Ravie Lakshmanan,文章来源:TheHackersNews

原文地址:https://thehackernews.com/2024/11/synology-urges-patch-for-critical-zero.html

译文仅供参考,具体内容表达以及含义原文为准。

NAS设备制造商群晖(Synology)已经解决了影响DiskStation和BeePhotos的一个可能导致远程代码执行的关键安全漏洞。

这个零日漏洞被追踪为CVE-2024-10443,并被Midnight Blue称为RISK:STATION,由安全研究员Rick de Jager在Pwn2Own Ireland 2024黑客大赛上展示。

RISK:STATION是一个 “未经验证的零点击漏洞,允许攻击者在流行的群晖DiskStation和BeeStation NAS设备上执行root级代码,影响数百万台设备。

该漏洞的零点击性质意味着它不需要任何用户交互来触发利用,从而允许攻击者访问设备以窃取敏感数据并植入额外的恶意软件。

该漏洞影响以下版本

  • BeePhotos for BeeStation OS 1.0(升级至 1.0.2-10026 或更高版本)
  • 適用於 BeeStation OS 1.1 的 BeePhotos (升級至 1.1.0-10053 或以上版本)
  • Synology Photos 1.6 for DSM 7.2 (升級至 1.6.2-0720 或以上)
  • Synology Photos 1.7 for DSM 7.2 (升級至 1.7.0-0795 或以上版本)

为了让用户有足够的时间应用补丁,有关该漏洞的其他技术细节目前暂未公布。Midnight Blue表示,目前有100万到200万台Synology设备同时受到影响并暴露在互联网上。

QNAP 修补了 3 个关键漏洞

QNAP解决了影响QuRouter、SMB服务和HBS 3混合备份同步的三个关键漏洞,所有这些漏洞都在Pwn2Own中被利用。

  • CVE-2024-50389 – 已在 QuRouter 2.4.5.032 及更新版本中修复
  • CVE-2024-50387 – 已於 SMB Service 4.15.002 及 SMB Service h4.15.002 及更新版本中修復
  • CVE-2024-50388 – 已在 HBS 3 Hybrid Backup Sync 25.1.1.673 及更新版本中修復

虽然没有证据表明上述任何漏洞已在野外被利用,但鉴于 NAS 设备过去一直是勒索软件攻击的高价值目标,建议用户尽快应用这些补丁。

本文翻译自TheHackersNews 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66