Synology Fixes Critical Vulnerabilities in Synology Photos and BeePhotos After Pwn2Own Exposure
2024/10/27 SecurityOnline — Synology が発表したのは、NAS 用の写真管理アプリ Synology Photos と、個人用クラウド・ストレージ・デバイス BeePhotos に存在する、深刻な脆弱性に対処するセキュリティ・アップデートのリリースである。総称して ZDI-CAN-25623 として識別される脆弱性は、Pwn2Own 2024 ハッキング・コンテストで悪用が証明され、対象となるデバイス上でリモート・コード実行の可能性があることが示された。
DEVCORE Research Team のセキュリティ研究者である Pumpkin Chang と Orange Tsai により開発された、このエクスプロイトは、CRLF インジェクション/認証バイパス/SQL インジェクションなどの一連の脆弱性を悪用して、Synology BeeStation デバイスを完全に制御するものだ。
この発見/報告を受けた Synology は、脆弱性の詳細を記載する2つのセキュリティ・アドバイザリを発行し、ソフトウェアを直ちに更新するようユーザーに促した。Synology Photos/BeePhotos において、特定された脆弱性に対処するアップデートが提供されており、それらの適用によりリモート侵害のリスクが軽減される。
脆弱性の影響と修復
これらの脆弱性が悪用されると、以下のような深刻な結果が、ユーザーにもたらされる可能性がある。
- データ侵害:デバイスに保存されている機密データに対する、攻撃者による不正アクセスの可能性。
- サービスの中断:重要なサービスへのアクセスの中断/拒否において、侵害されたデバイスが使用される可能性。
- マルウェアの拡散:侵害されたデバイスを悪用する攻撃者が、ネットワーク上の他のシステムにマルウェアを拡散する可能性。
すでに Synology は、以下のアップデートをリリースし、これらのリスクに対処している。
- Synology Photos:DiskStation Manager (DSM) 7.2 用バージョン 1.7.0-0795/1.6.2-0720
- BeePhotos:BeeStation デバイス用バージョン 1.1.0-10053/1.0.2-10026
すべてのユーザーに対して Synology が強く推奨するのは、可能な限り早急にアップデートを適用し、データとシステムのセキュリティを確保することだ。
訳者注記:この ZDI-CAN-25623 ですが、CVE-2024-10443 が採番されたようです。
Pwn2Own Ireland 2024 で、Synology Photos/BeePhotos の脆弱性が公表され、その悪用も証明されました。ご利用のチームは、ご注意ください。なお、現時点では CVE は採番されていないようです。よろしければ、Synology で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.