Компания Synology, специалист по сетевым хранилищам (NAS), предупредила клиентов, что некоторые из ее продуктов уязвимы для ряда критических уязвимостей.
«Множество уязвимостей позволяют удаленным злоумышленникам получать конфиденциальную информацию и, возможно, выполнять произвольный код с помощью конфиденциальной версии Synology DiskStation Manager (DSM) и Synology Router Manager (SRM)», — говорится в бюллетене компании.
Проблемы были обнаружены в Netatalk, реализации файлового протокола Apple с открытым исходным кодом, которая превращает Unix-подобные операционные системы в файловые серверы.
еще нет патча
Команда Netatalk исправила проблемы около месяца назад в версии 3.1.1., сообщает BleepingComputer. Однако Synology указывает, что версии некоторых затронутых ею терминалов еще не развернуты.
Всего в NAS-устройствах Synology присутствуют четыре недостатка, каждый из которых получил оценку серьезности 9,8/10.
Synology не предоставила никаких сроков, в течение которых ожидается выпуск исправлений, но BleepingComputer сообщает, что компания обычно выпускает такие исправления в течение трех месяцев после раскрытия уязвимости.
Кроме того, было сказано, что устройства NAS, работающие под управлением DiskStation Manager (DSM) 7.1 или более поздней версии, уже были исправлены.
Менее недели назад QNAP, другой производитель NAS, обнаружил уязвимости в своих продуктах.
Ошибки, обнаруженные в Apache HTTP Server 2.4.52 и более ранних версиях, могут быть использованы для выполнения атак низкой сложности, не требующих взаимодействия с жертвой.
QNAP предупредил владельцев NAS о применении известных мер по смягчению последствий, посоветовав им сохранить значение по умолчанию «1M» для LimitXMLRequestBody и отключить mod_sed, которые эффективно затыкают дыры.
QNAP также отметила, что внутрипроцессный фильтр содержимого mod_sed по умолчанию отключен на HTTP-сервере Apache на устройствах NAS, работающих под управлением операционной системы QTS.
«CVE-2022-22721 влияет на 32-разрядные модели QNAP NAS, а CVE-2022-23943 влияет на пользователей, у которых на устройстве QNAP включен mod_sed в HTTP-сервере Apache», — заявила тогда компания.
Через BleepingComputer
