Synology 製品群の脆弱性 CVE-2024-10441 (CVSS 9.8) などが FIX:RCE などの可能性

CVE-2024-10441 (CVSS 9.8): Synology Patches Critical Code Execution Flaw in Multiple Products

2025/03/18 SecurityOnline — Synology が発表したのは、BeeStation Manager (BSM)/DiskStation Manager (DSM)/Unified Controller (DSMUC) などの製品群に影響を及ぼす、深刻なセキュリティ脆弱性に対するセキュリティ・アドバイザリである。2025年3月19日に公開された、このアドバイザリの更新では、脆弱なシステム上でリモート攻撃者に対して、任意のコード実行を許してしまう欠陥が修正されている。

このアドバイザリで報告された中で、最も深刻な脆弱性 CVE-2024-10441 (CVSS3:9.8) は Critical と評価されている。この脆弱性は、影響を受ける製品内の、システム・プラグイン・デーモンにおける、不適切なエンコードまたは出力エスケープに起因すると、Synology は述べている。この脆弱性の悪用に成功したリモート攻撃者は、不特定のベクターを介して任意のコード実行の機会を手にするため、Synology デバイスのセキュリティに重大なリスクが生じる。

上記のコード実行の脆弱性に加えて Synology は、Medium レベルの脆弱性 CVE-2024-10445 (CVSS3:4.3) にも対処している。この欠陥は、更新機能における不適切な証明書検証に起因すると説明されている。この脆弱性の悪用に成功したリモート攻撃者は、不特定のベクターを介して、特定のファイルへの書き込みを可能にするとされる。

また、このセキュリティ・アドバイザリでは、脆弱性 CVE-2024-50629 (CVSS:5.3) についても言及されているが、この欠陥は “RESERVED” とマークされている。

すでに Synology は、ソフトウェアの更新バージョンをリリースし、これらの脆弱性に対処している。Synology BeeStation Manager/DiskStation Manager/Unified Controller のユーザーに強く推奨されるのは、最新バージョンへの速やかなアップグレードである。

影響を受ける製品と修正版のリリース
ProductSeverityFixed Release Availability
DSM 7.2.2CriticalUpgrade to 7.2.2-72806-1 or above
DSM 7.2.1CriticalUpgrade to 7.2.1-69057-6 or above
DSM 7.2CriticalUpgrade to 7.2-64570-4 or above
DSM 7.1CriticalUpgrade to 7.1.1-42962-7 or above
DSM 6.2CriticalUpgrade to 6.2.4-25556-8 or above
DSMUC 3.1CriticalUpgrade to 3.1.4-23079 or above
BeeStation OS 1.1CriticalUpgrade to 1.1-65374 or above
BeeStation OS 1.0CriticalUpgrade to 1.1-65374 or above

これらの脆弱性を報告した、Ryan Emmons (@the_emmons) と Team Smoking Barrels に対して、Synology は感謝の意を表している。ユーザーに推奨されるのは、Synology のセキュリティ・アドバイザリで詳細を確認し、必要な更新を適用して、潜在的な悪用からデバイスを保護することだ。

Synology の NAS/SAN OS に、深刻な脆弱性が発生しています。同日に、Synology Camera の脆弱性 CVE-2024-11131 (CVSS 9.8) に関するアドバイザリもリリースされています。よろしければ、以下の関連記事も、Synology で検索と併せて、ご参照下さい。

2025/03/19:Synology Camera の脆弱性 CVE-2024-11131 が FIX
2024/10/27:Synology Photos の脆弱性が FIX:Pwn2Own で証明
2023/08/09:Synology NAS 脆弱性:数百万ユーザーのファイルが流出