Synology 紧急发布 Pwn2Own 零日漏洞补丁 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

Synology 紧急发布 Pwn2Own 零日漏洞补丁

胡金鱼 漏洞 2024-11-12 12:00:00
26996
收藏

导语:在线暴露的设备正在成为勒索软件攻击的目标。

网络附加存储 (NAS) 设备制造商 Synology 已修复了 Pwn2Own 黑客竞赛中被利用的两个关键零日漏洞。 

Midnight Blue 安全研究员在该公司的 Synology Photos 和 BeePhotos for BeeStation 软件中发现了关键的零点击漏洞(一起追踪为 CVE-2024-10443,并称为 RISK:STATION)。

正如 Synology 在 Pwn2Own Ireland 2024 上演示这些漏洞劫持 Synology BeeStation BST150-4T 设备,两天后发布的安全公告中所解释的那样,这些安全漏洞使远程攻击者能够以 root 身份在在线暴露的易受攻击的 NAS 设备上获得远程代码执行。

Midnight Blue 表示:“该漏洞最初是在几个小时内被发现的,作为另一个 Pwn2Own 提交的替代品。演示后立即向 Synology 披露了该问题,并在 48 小时内提供了解决该漏洞的补丁。” 

Synology 表示,它解决了以下软件版本中的漏洞;但是,它们不会自动应用于易受攻击的系统,建议客户尽快更新以阻止潜在的传入攻击:

·BeePhotos for BeeStation OS 1.1:升级到1.1.0-10053或更高版本。

·BeePhotos for BeeStation OS 1.0:升级到1.0.2-10026或更高版本。

·Synology Photos 1.7 for DSM 7.2:升级到 1.7.0-0795 或更高版本。

·Synology Photos 1.6 for DSM 7.2:升级到 1.6.2-0720 或更高版本。

另一家 NAS 设备制造商 QNAP 在一周内修复了在黑客竞赛中被利用的两个更关键的零日漏洞(在该公司的 SMB 服务和混合备份同步灾难恢复和数据备份解决方案中)。

虽然 Synology 和 QNAP 匆忙推出安全更新,但供应商有 90 天的时间可以更新。

NAS 设备通常被家庭和企业客户用来存储敏感数据,并且它们也经常暴露在互联网上以进行远程访问。然而,这使得它们成为网络犯罪分子的目标,他们利用弱密码或漏洞来破坏系统、窃取数据、加密文件,并通过索要赎金来勒索所有者以提供对丢失文件的访问权限。

Midnight Blue 安全研究人员在 Pwn2Own Ireland 2024 期间演示了 Synology 零日漏洞,他们在美国和欧洲的警察部门网络上发现了暴露于互联网的 Synology NAS 设备,以及来自韩国、意大利和加拿大的关键基础设施承包商。

QNAP 和 Synology 多年来一直提醒客户,在线暴露的设备正在成为勒索软件攻击的目标。例如,eCh0raix 勒索软件(也称为 QNAPCrypt)于 2016 年 6 月首次出现,一直定期针对此类系统,其中 2019 年 6 月(针对 QNAP 和 Synology 设备)和 2020 年 6 月报告的两起大规模勒索软件尤为突出。

在最近的攻击浪潮中,威胁者还使用其他恶意软件菌株,包括 DeadBolt 和 Checkmate 勒索软件,以及各种安全漏洞来加密暴露于互联网的 NAS 设备。

文章翻译自:https://www.bleepingcomputer.com/news/security/synology-fixed-two-critical-zero-days-exploited-at-pwn2own-within-days/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务