一组荷兰研究人员发现,全球数百万个人和企业使用的用于存储文档的流行设备和应用程序容易受到零点击漏洞的影响。
https://www.midnightblue.nl/research/riskstation
该漏洞被称为零点击漏洞,因为它不需要用户点击任何东西即可被感染,它会影响中国台湾 Synology 公司生产的流行网络附加存储 (NAS) 设备上默认安装的照片应用程序。
该漏洞允许攻击者访问设备以窃取个人和公司文件、植入后门或使用勒索软件感染系统以阻止用户访问其数据。
SynologyPhotos 应用程序包在 Synology 的 BeeStation 存储设备系列中预装并默认启用,但它也是其 DiskStation 存储系统用户下载的热门应用程序,该系统允许用户使用可移动组件来扩充存储容量。
近年来,几个勒索软件组织将目标对准了 Synology 和其他公司生产的网络连接存储设备,至少可以追溯到 2019 年。今年早些时候,Synology 的 DiskStation 系统的用户特别报告了受到勒索软件攻击的情况。
荷兰Midnight Blue安全研究员 Rick de Jager在爱尔兰 Pwn2Own 黑客大赛中花了两个小时发现了该漏洞。
他与同事 Carlo Meijer、Wouter Bokslag 和 Jos Wetzels 对联网设备进行了扫描,发现数十万台联网的 Synology NAS 易受攻击。不过研究人员表示,数百万台其他设备也有可能受到攻击。
他们与 Pwn2Own 组织者上周向 Synology 通报了该漏洞。
网络附加存储系统被视为勒索软件运营商的高价值目标,因为它们存储了大量数据。许多用户将它们从自己的网络直接连接到互联网,或使用 Synology 的云存储将数据在线备份到这些系统。
研究人员告诉《连线》杂志,虽然系统可以设置需要凭证才能访问的网关,但照片应用程序中包含零点击漏洞的部分不需要身份验证,因此攻击者可以直接通过互联网利用该漏洞,而无需绕过网关。该漏洞使他们拥有 root 访问权限,可以在设备上安装和执行任何恶意代码。
研究人员还表示,这款照片应用程序可以帮助用户整理照片,无论客户是直接将 NAS 设备连接到互联网,还是通过 Synology 的 QuickConnect 服务(允许用户从任何地方远程访问 NAS),都可以轻松访问。
一旦攻击者找到一台连接到云的 Synology NAS,他们就可以轻松找到其他 NAS,因为系统的注册和分配 ID 的方式。
有很多设备通过 QuickConnect 服务连接到私有云,这些设备同样可以被利用,所以即使你不直接将其暴露在互联网上,你也可以通过这项服务利用这些设备,这些设备的数量级达到数百万。
研究人员能够识别出美国和法国警察局以及大量美国、加拿大和法国律师事务所以及澳大利亚和韩国货运和油罐运营商所拥有的云连接 Synology NAS。
他们甚至还发现了韩国、意大利和加拿大电网、制药和化学工业维护承包商所拥有的 Synology NAS。
这些公司存储公司数据……管理文件、工程文件,对于律师事务所来说,可能还有案件档案。
研究人员表示,勒索软件和数据盗窃并不是这些设备的唯一问题——攻击者还可以将受感染的系统变成僵尸网络来服务和隐藏其他黑客行动,例如黑客利用受感染的家庭和办公室路由器构建的庞大僵尸网络,以掩盖他们的间谍行动。
该公司的网站于 10 月 25 日发布了两条与该问题相关的安全公告,称该漏洞“严重”。公告确认该漏洞是在 Pwn2Own竞赛中发现的,并表明该公司已发布针对该漏洞的补丁。
然而,Synology 的 NAS 设备没有自动更新功能,目前尚不清楚有多少客户知道并应用了该补丁。随着补丁的发布,攻击者现在更容易从补丁中找出漏洞并设计攻击目标设备。
独自一人发现漏洞并非易事,但当补丁真正发布并且你对补丁进行逆向工程时,找出漏洞并串联起来就相当容易了。
原文始发于微信公众号(网络研究观):零点击漏洞可能使数百万流行存储设备遭受攻击
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论