-
09/04/2020
-
95
-
753 bài viết
Synology phát hành bản vá cho lỗ hổng RCE nghiêm trọng ảnh hưởng đến máy chủ VPN Plus
Synology - tập đoàn Đài Loan chuyên về các thiết bị lưu trữ gắn mạng (NAS) - đã phát hành các bản cập nhật an ninh để giải quyết một lỗ hổng nghiêm trọng, ảnh hưởng đến máy chủ VPN Plus có thể bị khai thác để chiếm quyền hệ thống.
Với mã định danh là CVE-2022-43931, lỗ hổng có điểm CVSS là 10/10 và được mô tả là lỗi out-of-bounds write (lỗi ghi vượt giới hạn bộ nhớ) trong chức năng remote desktop của máy chủ Synology VPN Plus.
Khai thác thành công, hacker có thể thực thi các lệnh tùy ý từ xa thông qua các vectơ không xác định.
Người dùng VPN Plus Server trên Synology Router Manager (SRM) 1.2 và SRM 1.3 nên cập nhật lên phiên bản 1.4.3-0534 và 1.4.4-0635 tương ứng.
Synology cũng cảnh báo về một số lỗ hổng trong SRM có thể cho phép kẻ tấn công từ xa thực thi các lệnh tùy ý, tiến hành tấn công từ chối dịch vụ hoặc đọc các tệp tùy ý.
Chi tiết chính xác về các lỗ hổng hiện chưa được tiết lộ, người dùng được khuyến cáo nâng cấp lên các phiên bản 1.2.5-8227-6 và 1.3.1-9346-3 để giảm thiểu các nguy cơ có thể bị tấn công.
Đáng chú ý, một số lỗ hổng an ninh đã được trình diễn tại cuộc thi Pwn2Own 2022 tổ chức tại Toronto.
Với mã định danh là CVE-2022-43931, lỗ hổng có điểm CVSS là 10/10 và được mô tả là lỗi out-of-bounds write (lỗi ghi vượt giới hạn bộ nhớ) trong chức năng remote desktop của máy chủ Synology VPN Plus.
Khai thác thành công, hacker có thể thực thi các lệnh tùy ý từ xa thông qua các vectơ không xác định.
Người dùng VPN Plus Server trên Synology Router Manager (SRM) 1.2 và SRM 1.3 nên cập nhật lên phiên bản 1.4.3-0534 và 1.4.4-0635 tương ứng.
Synology cũng cảnh báo về một số lỗ hổng trong SRM có thể cho phép kẻ tấn công từ xa thực thi các lệnh tùy ý, tiến hành tấn công từ chối dịch vụ hoặc đọc các tệp tùy ý.
Chi tiết chính xác về các lỗ hổng hiện chưa được tiết lộ, người dùng được khuyến cáo nâng cấp lên các phiên bản 1.2.5-8227-6 và 1.3.1-9346-3 để giảm thiểu các nguy cơ có thể bị tấn công.
Đáng chú ý, một số lỗ hổng an ninh đã được trình diễn tại cuộc thi Pwn2Own 2022 tổ chức tại Toronto.
Nguồn: The Hacker News