Một nhà nghiên cứu bảo mật từ Midnight Blue, công ty tư vấn bảo mật tại Hà Lan, đã phát hiện ra lỗ hổng “zero-click” trong phần mềm NAS của Synology, cụ thể là ứng dụng Photos cài đặt sẵn trên các thiết bị này.
Theo Wired, lỗ hổng này được nhà nghiên cứu bảo mật Rick de Jager phát hiện tại cuộc thi hacking Pwn2Own ở Ireland. Nó ảnh hưởng đến ứng dụng Synology Photos và BeePhotos trên BeeStation.
“Lỗ hổng được phát hiện chỉ trong vài giờ như một phương án thay thế cho một phần dự thi khác tại Pwn2Own. Vấn đề đã được thông báo ngay lập tức tới Synology sau khi được trình diễn, và chỉ trong vòng 48 giờ sau đó, một bản vá đã được phát hành để khắc phục lỗ hổng này,” Midnight Blue cho biết.
“Do tiềm năng cao của lỗ hổng này có thể bị lạm dụng vào mục đích tấn công, và hàng triệu thiết bị bị ảnh hưởng, chúng tôi đã liên hệ với các phương tiện truyền thông để cảnh báo người dùng về vấn đề này, nhấn mạnh tầm quan trọng của việc thực hiện các biện pháp phòng ngừa ngay lập tức.”
Lỗ hổng “zero-click” là loại lỗ hổng không yêu cầu bất kỳ thao tác xác thực nào, cho phép kẻ tấn công khai thác từ xa qua internet mà không cần phải vượt qua các cổng bảo mật. Khi đã truy cập thành công, kẻ tấn công có thể chiếm quyền root, cài đặt và thực thi bất kỳ mã nào trên thiết bị.
Ngay sau khi phát hiện, Synology đã nhanh chóng phát hành bản sửa lỗi. Tuy nhiên, do các thiết bị Synology NAS không tự động cập nhật, người dùng được khuyến nghị cập nhật thiết bị ngay lập tức. Các bản vá hiện có cho BeePhotos phiên bản BeeStation OS 1.1 (nâng cấp lên 1.1.0-10053 hoặc cao hơn), BeeStation OS 1.0 (nâng cấp lên 1.0.2-10026 hoặc cao hơn), Synology Photos 1.7 cho DSM 7.2 (nâng cấp lên 1.7.0-0795 hoặc cao hơn) và Synology Photos 1.6 cho DSM 7.2 (nâng cấp lên 1.6.2-0720 hoặc cao hơn).
NAS là một mục tiêu phổ biến cho các cuộc tấn công vì thường chứa lượng lớn dữ liệu cá nhân. Vào tháng 7/2021, sản phẩm My Book Live NAS của Western Digital từng chịu một cuộc tấn công nghiêm trọng do hai lỗ hổng lớn. Vấn đề nghiêm trọng đến mức cho phép kẻ tấn công truy cập từ xa và xóa sạch dữ liệu trên thiết bị.
