聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞由 Midnight Blue 团队的研究员 Rick de Jager在 Pwn2Own 爱尔兰大赛中发现,被命名为 “RISK:STATION”。
“RISK:STATION”是一个“未认证的零点击漏洞,可导致攻击者在热门 Synology DiskStation 和 BeeStation NAS 设备上获得root 级别权限,影响数百万台设备。”该漏洞的零点击性质意味着无需用户交互即可触发利用,因此可导致攻击者获得对设备的访问权限,窃取敏感数据并植入其它恶意软件。
受影响版本如下:
-
BeePhotos for BeeStation OS 1.0(更新到 1.0.2-10026 或以上版本)
-
BeePhotos for BeeStation OS 1.1(更新到 1.1.0-10053 或以上版本)
-
Synology Photos 1.6 for DSM 7.2(更新到 1.6.2-0720 或以上版本)
-
Synology Photos 1.7 for DSM 7.2(更新到 1.7.0-0795 或以上版本)
该漏洞详情尚未发布,以便用户及时更新。Midnight Blue 团队表示目前大约有一百万到两百万台设备同时受影响且被暴露到互联网。
QNAP 此前也修复了在该大赛上找到的影响 QuRouter、SMB Service 和 HBS 3 Hybrid Backup Sync 的三个漏洞,如下:
-
CVE-2024-50389 – 在QuRouter 2.4.5.032及后续版本中修复。
-
CVE-2024-50387 – 在SMB Service 4.15.002 和 SMB Service h4.15.002及后续版本中修复。
-
CVE-2024-50388 – 在HBS 3 Hybrid Backup Sync 25.1.1.673及后续版本修复。
虽然尚未有证据表明如上漏洞已遭在野利用,但鉴于NAS设备在过去已成为勒索攻击的高价值目标,因此建议用户尽快应用这些补丁。
原文始发于微信公众号(代码卫士):Synology:速修复零点击RCE漏洞,影响数百万 NAS 设备
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论