Synology phát hành bản vá cho lỗ hổng RCE nghiêm trọng ảnh hưởng đến máy chủ VPN Plus

Synology đã phát hành các bản cập nhật bảo mật để giải quyết một lỗ hổng nghiêm trọng ảnh hưởng đến máy chủ VPN Plus, có thể bị khai thác để chiếm quyền kiểm soát các hệ thống bị ảnh hưởng.

Có định danh CVE-2022-43931, điểm CVSS 10 trên thang 10, lỗ hổng đặc biệt nghiêm trọng liên qua đến vấn đề truy cập ghi ngoài giới hạn (out-of-bounds write) trong chức năng điều khiển máy tính từ xa (remote desktop) trong Synology VPN Plus Server.

Công ty cho biết khai thác thành công lỗ hổng có thể "cho phép kẻ tấn công thực thi các lệnh tùy ý". Lỗ hổng đã được phát hiện nội bộ bởi Nhóm ứng phó sự cố bảo mật (PSIRT) của họ.

Người dùng VPN Plus Server cho Synology Router Manager (SRM) 1.2 và VPN Plus Server cho SRM 1.3 nên cập nhật lên phiên bản 1.4.3-0534 và 1.4.4-0635 tương ứng.

Trong một tư vấn bảo mật gần đây, Synology cũng cảnh báo về một số lỗ hổng trong SRM có thể cho phép kẻ tấn công từ xa thực thi các lệnh tùy ý, tấn công từ chối dịch vụ hoặc đọc các tệp tùy ý.

Thông tin chi tiết về các lỗ hổng vẫn chưa được tiết lộ để tránh bị các tác tác nhân đe dọa lạm dụng khai thác. Người dùng SRM được khuyến nghị nâng cấp lên các phiên bản 1.2.5-8227-6 và 1.3.1-9346-3 để giảm thiểu các mối đe dọa tiềm ẩn.

Nhà nghiên cứu Gaurav Baruah, Lukas Kupczyk của CrowdStrike, Orange Tsai của DEVCORE và công ty bảo mật Computest đã được ghi nhận là đã báo cáo các lỗ hổng.

Đáng chú ý, một số lỗ hổng trong số này đã được chứng minh và báo cáo tại cuộc thi Pwn2Own 2022 được tổ chức vào tháng 12 năm 2022 tại Toronto, Canada.

Baruah đã nhận được 20.000 đô la tiền thưởng cho thử nghiệm tấn công thực thi lệnh (command injection) vào giao diện WAN của Synology RT6600ax. Computest cũng giành được 5.000 đô cho thử nghiệm khai thác command injection root shell trong giao diện LAN của Synology RT6600ax.

Nguồn: thehackernews.com.