Une énorme faille de sécurité a été détectée et corrigée par les équipes de Synology, le fabricant de NAS (Network Attached Storage) situé à Taïwan. Il est vivement recommandé de mettre les utilitaires et le matériel à jour.
La faille, classée en gravité maximale, aurait pu être exploitée sans nécessiter de privilèges administrateur et occasionner de gros dégâts.
Une faille de gravité maximale découverte
Fondée par deux anciens salariés de Microsoft en 2000, Synology est une entreprise qui fournit des solutions NAS, des appareils de stockage autonomes qui peuvent être connectés à un réseau professionnel ou privé via Internet. Ces appareils et les logiciels qui y sont associés sont donc utilisés pour stocker de grosses quantités de données et éviter leur perte grâce à un Cloud privé. Autant dire qu'il s'agit de cibles toutes désignées pour les pirates qui, en s'infiltrant, pourraient récupérer des fichiers sensibles, confidentiels ou totalement personnels.
Le 2 janvier dernier, Synology a indiqué qu'une vulnérabilité notée 10/10 pour sa dangerosité avait été détectée dans le logiciel VPN Plus Server. Elle permettait à des pirates d'attaquer à distance et d'exécuter des commandes arbitraires via des vecteurs non spécifiés. Autrement dit, elle pouvait très facilement être exploitée sans demander de grandes compétences. Le problème a évidemment été mis en haut de la liste des priorités.
Déjà de l'histoire ancienne ?
Ce genre de vulnérabilité peut conduire à une intrusion, à la corruption des données, occasionner des pannes du système et empêcher le code de s'exécuter correctement. Il fallait donc intervenir rapidement, ce qui a été fait. Depuis peu, des correctifs ont été mis en ligne, et il est très fortement recommandé aux clients de mettre à jour VPN Plus Server vers la version de SRM (Synology Router Manager) la plus récente. Les versions 1.3 et 1.2 des serveurs VPN sont concernées par les mises à jour 1.4.4-0635 (1.3) et 1.4.3-0534 (1.2).
Le 22 décembre dernier, Synology a corrigé une autre faille critique de sécurité dans Synology Router Manager. Elle permettait notamment d'exécuter à distance des commandes arbitraires, de lancer des attaques par déni de service (DDoS) ou de lire des fichiers stockés. Désormais, il semble que ces failles critiques, aussi bien du côté de VPN Plus Server que de Synology Router Manager, fassent partie du passé. Bien évidemment, Synology va continuer de surveiller ses services et ses produits, car la sécurité absolue n'existe pas.
Source : BleepingComputer