Компания Synology, специализирующаяся на сетевых хранилищах данных (NAS), предупредила клиентов, что некоторые из ее продуктов уязвимы к ряду критических уязвимостей.
«Множество уязвимостей позволяют удаленным злоумышленникам получать конфиденциальную информацию и, возможно, выполнять произвольный код через конфиденциальную версию Synology DiskStation Manager (DSM) и Synology Router Manager (SRM)», — говорится в сообщении компании.
Проблемы были обнаружены в Netatalk, реализации с открытым исходным кодом файлового протокола Apple, которая превращает Unix-подобные операционные системы в файловые серверы.
еще нет патча
Команда Netatalk устранила проблемы около месяца назад, выпустив версию 3.1.1., сообщает BleepingComputer. Однако Synology указывает, что версии некоторых из затронутых ею терминалов еще не развернуты.
Всего в устройствах NAS Synology обнаружено четыре дефекта, каждый из которых получил оценку серьезности 9,8 из 10.
Synology не указала сроки, когда ожидается выпуск исправлений, но BleepingComputer сообщает, что компания обычно предоставляет такие обновления в течение трех месяцев с момента раскрытия уязвимости.
Кроме того, было сказано, что устройства NAS, работающие под управлением DiskStation Manager (DSM) 7.1 или более поздней версии, уже были исправлены.
Менее недели назад QNAP, еще один поставщик NAS, обнаружил уязвимости в своих продуктах.
Обнаруженные в Apache HTTP Server 2.4.52 и более ранних версиях ошибки могут быть использованы для выполнения атак низкой сложности, не требующих взаимодействия с жертвой.
QNAP предупредила владельцев NAS о необходимости применить известные средства защиты, посоветовав им сохранить значение по умолчанию «1M» для LimitXMLRequestBody и отключить mod_sed, поскольку оба они эффективно закрывают дыры.
QNAP также отметила, что внутрипроцессный фильтр содержимого mod_sed по умолчанию отключен на HTTP-сервере Apache на устройствах NAS, работающих под управлением операционной системы QTS.
«CVE-2022-22721 затрагивает 32-битные модели QNAP NAS, а CVE-2022-23943 затрагивает пользователей, у которых включен mod_sed в HTTP-сервере Apache на их устройствах QNAP», — заявила тогда компания.
Через BleepingComputer