Synology : plusieurs produits impactés par une faille d’OpenSSL

0

Synology, le fabricant de NAS basé à Taïwan, a révélé que les vulnérabilités OpenSSL récemment divulguées d’exécution de code à distance et de déni de service ont un impact sur certains de ses produits.

« De multiples vulnérabilités permettent à des attaquants distants de mener une attaque par déni de service ou d’exécuter du code arbitraire via une version sensible de Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server ou VPN Server », explique la société dans un avis de sécurité publié le 26 Août.

La liste complète des appareils affectés par les failles de sécurité CVE-2021-3711 et CVE-2021-3712 inclut DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server et VPN Server.

Patchs à venir dans les 90 prochains jours

Le premier bogue est causé par un débordement de tampon basé sur le tas dans l’algorithme cryptographique SM2 qui conduit généralement à des plantages mais peut également être utilisé abusivement par des attaquants pour l’exécution de code arbitraire.

La deuxième faille est un dépassement de lecture sur la mémoire tampon lors du traitement des chaînes ASN.1 qui peuvent être exploitées pour faire planter des applications vulnérables lors d’attaques de déni de service ou accéder à des contenus de mémoire privés tels que des clés privées ou d’autres informations sensibles.

Bien que l’équipe de développement d’OpenSSL ait publié OpenSSL 1.1.1l pour corriger les deux failles le 24 août, Synology indique que les versions des produits concernés sont soit « en cours » soit « en attente ».

Bien que Synology ne fournisse pas de calendrier estimé pour ces mises à jour, la société a déclaré plus tôt le mois dernier qu’elle corrigeait généralement les logiciels concernés dans les 90 jours suivant la publication des avis.

ProduitSévéritéDisponibilité de la version corrigée
DSM 7.0ImportanteEn cours
DSM 6.2ModéréEn cours
DSM UC Modéré En cours
SkyNAS Modéré En attente
VS960HD Modéré En attente
SRM 1.2 Modéré En cours
VPN Plus ServerImportanteEn cours
VPN Server Modéré En cours

Les vulnérabilités de DiskStation Manager font également l’objet d’une enquête

Le fabricant de NAS travaille également sur des mises à jour de sécurité pour plusieurs vulnérabilités de DiskStation Manager (DSM) sans identifiants CVE attribués et affectant DSM 7.0, DSM 6.2, DSM UC, SkyNAS et VS960HD.

« De multiples vulnérabilités permettent aux utilisateurs distants authentifiés d’exécuter des commandes arbitraires, ou à des attaquants distants d’écrire des fichiers arbitraires via une version vulnérable de DiskStation Manager (DSM) », a déclaré Synology lors de la divulgation publique de ces failles de sécurité le 17 août.

« Nos équipes étudient toujours activement cette vulnérabilité potentielle et des CVE seront attribués lorsque plus d’informations pourront être divulguées », a déclaré la société récemment.

Synology a également ajouté que les attaquants n’ont pas encore exploité les vulnérabilités divulguées dans l’avis récent.

Plus tôt le mois dernier, la société a averti ses clients que le botnet StealthWorker cible leurs périphériques de stockage en réseau (NAS) dans des attaques par force brute qui conduisent à des infections de ransomware.

Laisser un commentaire