網絡附加存儲 (NAS) 設備制造商 Synology 已修復了 Pwn2Own 黑客競賽中被利用的兩個關鍵零日漏洞。

Midnight Blue 安全研究員在該公司的 Synology Photos 和 BeePhotos for BeeStation 軟件中發現了關鍵的零點擊漏洞（一起追蹤為 CVE-2024-10443，并稱為 RISK:STATION）。

正如 Synology 在 Pwn2Own Ireland 2024 上演示這些漏洞劫持 Synology BeeStation BST150-4T 設備，兩天后發布的安全公告中所解釋的那樣，這些安全漏洞使遠程攻擊者能夠以 root 身份在在線暴露的易受攻擊的 NAS 設備上獲得遠程代碼執行。

Midnight Blue 表示：“該漏洞最初是在幾個小時內被發現的，作為另一個 Pwn2Own 提交的替代品。演示后立即向 Synology 披露了該問題，并在 48 小時內提供了解決該漏洞的補丁。”

Synology 表示，它解決了以下軟件版本中的漏洞；但是，它們不會自動應用于易受攻擊的系統，建議客戶盡快更新以阻止潛在的傳入攻擊：

·BeePhotos for BeeStation OS 1.1：升級到1.1.0-10053或更高版本。

·BeePhotos for BeeStation OS 1.0：升級到1.0.2-10026或更高版本。

·Synology Photos 1.7 for DSM 7.2：升級到 1.7.0-0795 或更高版本。

·Synology Photos 1.6 for DSM 7.2：升級到 1.6.2-0720 或更高版本。

另一家 NAS 設備制造商 QNAP 在一周內修復了在黑客競賽中被利用的兩個更關鍵的零日漏洞（在該公司的 SMB 服務和混合備份同步災難恢復和數據備份解決方案中）。

雖然 Synology 和 QNAP 匆忙推出安全更新，但供應商有 90 天的時間可以更新。

NAS 設備通常被家庭和企業客戶用來存儲敏感數據，并且它們也經常暴露在互聯網上以進行遠程訪問。然而，這使得它們成為網絡犯罪分子的目標，他們利用弱密碼或漏洞來破壞系統、竊取數據、加密文件，并通過索要贖金來勒索所有者以提供對丟失文件的訪問權限。

Midnight Blue 安全研究人員在 Pwn2Own Ireland 2024 期間演示了 Synology 零日漏洞，他們在美國和歐洲的警察部門網絡上發現了暴露于互聯網的 Synology NAS 設備，以及來自韓國、意大利和加拿大的關鍵基礎設施承包商。

QNAP 和 Synology 多年來一直提醒客戶，在線暴露的設備正在成為勒索軟件攻擊的目標。例如，eCh0raix 勒索軟件（也稱為 QNAPCrypt）于 2016 年 6 月首次出現，一直定期針對此類系統，其中 2019 年 6 月（針對 QNAP 和 Synology 設備）和 2020 年 6 月報告的兩起大規模勒索軟件尤為突出。

在最近的攻擊浪潮中，威脅者還使用其他惡意軟件菌株，包括 DeadBolt 和 Checkmate 勒索軟件，以及各種安全漏洞來加密暴露于互聯網的 NAS 設備。

參考及來源：https://www.bleepingcomputer.com/news/security/synology-fixed-two-critical-zero-days-exploited-at-pwn2own-within-days/