Synology a publié une mise à jour de son firmware Disk Station Manager (DSM) 6.2 pour résoudre les vulnérabilités de sécurité révélées lors de la conférence sur la sécurité Pwn2own à Toronto en décembre dernier. Alors que des mises à jour pour DSM 7.1 et 7.0 et les systèmes d’exploitation du routeur SRM 1.3 et 1.2 sont disponibles depuis lors, Synology n’a fourni aucun détail sur les vulnérabilités de sécurité jusqu’à la semaine dernière.
Les détails nouvellement disponibles détaillent les vulnérabilités corrigées par les versions mises à jour du micrologiciel SRM. L’une de ces vulnérabilités est la vulnérabilité “OS Command Injection”, qui permet aux attaquants d’exécuter des commandes arbitraires et leur propre code. Une autre vulnérabilité dans les scripts CGI permet aux attaquants du réseau de lire des données arbitraires. Un débordement de buffer potentiel dans les composants CGI permet également à des attaquants distants d’exécuter du code injecté.
Cependant, l’avis de sécurité sur les vulnérabilités de Pwn2own manque d’informations détaillées, ce qui rend difficile de voir quelles vulnérabilités la mise à jour corrige. Mais les noms dans les remerciements de Synology indiquent une vulnérabilité que les attaquants peuvent exploiter pour injecter du code malveillant du réseau sur les appareils.
Les premiers systèmes d’exploitation à combler ces lacunes étaient SRM 1.2.5-8227-6 et 1.3-9346-3 et plus récents. La mise à jour de DSM 7.0 vers 7.0.1-42218-6 et versions ultérieures a suivi en janvier. La note n’explique pas quand 7.1.1-42962-3 et plus récent étaient disponibles. Par conséquent, les utilisateurs d’appareils Synology avec DSM 6.2 doivent rapidement mettre à jour vers 6.2.4-25556-7 ou version ultérieure pour combler les lacunes.
