Synology a publié des mises à jour de sécurité pour corriger une faille critique affectant VPN Plus Server qui pourrait être exploitée pour prendre le contrôle des systèmes affectés.
Répertoriée sous le nom de CVE-2022-43931, la vulnérabilité a une gravité maximale de 10 sur l’échelle CVSS et a été décrite comme un bogue d’écriture hors limites dans la fonctionnalité de bureau à distance du serveur Synology VPN Plus.
L’exploitation réussie de ce problème «permet à des attaquants distants d’exécuter des commandes arbitraires via des vecteurs non spécifiés», a déclaré la société taïwanaise, ajoutant qu’il a été découvert en interne par son équipe de réponse aux incidents de sécurité des produits.
Les utilisateurs de VPN Plus Server for Synology Router Manager 1.2 et VPN Plus Server for SRM 1.3 sont invités à se mettre à jour vers les versions 1.4.3-0534 et 1.4.4-0635, respectivement.
Dans un second avis, le fabricant d’appliances de stockage en réseau a également mis en garde contre plusieurs failles dans le SRM qui pourraient permettre à des attaquants distants d’exécuter des commandes arbitraires, de mener des attaques par déni de service ou de lire des fichiers arbitraires.
Baruah a gagné 20 000 dollars pour une attaque par injection de commande contre l’interface WAN du Synology RT6600ax, tandis que Computest a obtenu 5 000 dollars pour un exploit root shell par injection de commande visant son interface LAN.