Synology fixes multiple critical vulnerabilities in its routers
2023/01/03 SecurityAffairs — 2022年12月に、台湾の NAS メーカーである Synology は、2つの新しい重要アドバイザリを公開した。最初のアドバイザリは、同社が対処した最も重要なものであり、脆弱性 CVE-2022-43931 (CVSS : 10) として追跡されている、境界外書き込みの深刻な問題だ。この脆弱性は、Ver 1.4.3-0534/1.4.4-0635 以前の、Synology VPN Plus Server の Remote Desktop Functionality に存在している。この脆弱性の悪用に成功したリモートの攻撃者は、不特定のベクター経由で任意のコマンドを実行できる。
同社が公開したアドバイザリには、「Ver 1.4.3-0534/1.4.4-0635 以前の、Synology VPN Plus Server の Remote Desktop Functionality には、境界外書き込みの脆弱性が存在し、リモートの攻撃者が不特定のベクターを介して、任意のコマンドを実行する可能性がある」と記されている。
この脆弱性は、Synology PSIRT の研究者により発見された。
2つ目のアドバイザリは、Synology Router Manager (SRM) に影響を及ぼす、複数の脆弱性に対処するものだ。Router Manager とは、すべての Synology Router の基礎となるオペレーティング・システムのことである。攻撃者は、この欠陥をトリガーにして、任意のコマンド実行/サービス拒否状態/任意のファイルの読み取りなどを可能にする。
同社のアドバイザリには、「複数の脆弱性により、リモートの攻撃者は影響を受けるバージョンの、Synology Router Manager (SRM) を介して、任意のコマンド実行/サービス拒否攻撃/任意のファイルを読み取りなどを可能にする」と記されている。
この脆弱性は、SRM 1.3/SRM 1.2 に影響を及ぼすものであり、以下の研究者から報告されている。
- Devcore の Orange Tsai
- Trend Micro Zero Day Initiative に参加した Gaurav Baruah
- Trend Micro Zero Day Initiative に参加した Computest
- CrowdStrike の Lukas Kupczyk
上記の脆弱性に関する悪法方法は、Pwn2Own Toronto 2022 で実演され、Trend Micro Zero Day Initiative を通じて報告されたものと思われる。
研究者である Gaurav Baruah は、Synology RT6600ax ルーターの WAN インターフェイスに対するコマンド・インジェクション攻撃を実演し、$20,000 を獲得した。また Computest は、RT6600ax ルーターの LAN インターフェイスを標的としたコマンド ・インジェクション root shell 攻撃を実演し、$5,000 を獲得している。
NAS の脆弱性に関しては、このところ QNAP が目立っていましたが、今回は Synology に問題が発生したとのことです。2021年8月の「Synology NAS 問題:OpenSSL の脆弱性が一部のバージョンに影響」と、2022年4月の「Synology の AFP (Apple Filing Protocol) に深刻な脆弱性:パッチ適用までの緩和策とは?」以来のことです。よろしければ、Synology で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.