El especialista en almacenamiento conectado a la red (NAS) Synology ha advertido a los clientes que algunos de sus productos son vulnerables a una serie de vulnerabilidades críticas.
"Múltiples vulnerabilidades permiten a los atacantes remotos obtener información confidencial y posiblemente ejecutar código arbitrario a través de una versión confidencial de Synology DiskStation Manager (DSM) y Synology Router Manager (SRM)", dijo la compañía en un aviso.
Los problemas se descubrieron en Netatalk, una implementación de código abierto del Protocolo de archivo de Apple, que convierte los sistemas operativos similares a Unix en servidores de archivos.
еще нет патча
El equipo de Netatalk solucionó los problemas hace aproximadamente un mes, con la versión 3.1.1., informó BleepingComputer. Sin embargo, Synology indica que aún no se han desplegado las versiones de algunos de sus terminales afectados.
Un total de cuatro defectos parecen plagar los dispositivos NAS de Synology, todos los cuales recibieron una puntuación de gravedad de 9,8/10.
Synology no proporcionó ningún marco de tiempo en el que espera que se lancen los parches, pero BleepingComputer dice que la compañía generalmente entrega tales cosas dentro de los tres meses posteriores a la divulgación de la vulnerabilidad.
Además, los dispositivos NAS que ejecutan DiskStation Manager (DSM) 7.1 o posterior ya han sido parcheados, se dijo.
Hace menos de una semana, QNAP, otro proveedor de NAS, descubrió vulnerabilidades en sus productos.
Descubiertos en Apache HTTP Server 2.4.52 y versiones anteriores, los errores podrían usarse para realizar ataques de baja complejidad que no requieren interacción con la víctima.
QNAP advirtió a los propietarios de NAS que aplicaran mitigaciones conocidas, aconsejándoles que mantuvieran el "1M" predeterminado para LimitXMLRequestBody y deshabilitaran mod_sed, ya que ambas cosas tapan los agujeros de manera efectiva.
QNAP также отметила, что внутрипроцессный фильтр содержимого mod_sed по умолчанию отключен на HTTP-сервере Apache на устройствах NAS, работающих под управлением операционной системы QTS.
"CVE-2022-22721 afecta a los modelos QNAP NAS de 32 bits y CVE-2022-23943 afecta a los usuarios que tienen mod_sed habilitado en Apache HTTP Server en su dispositivo QNAP", dijo la compañía en ese momento.
Через BleepingComputer