Synology: уязвимость OpenSSL RCE затронула несколько продуктов

31
S4 Capital Мартина Соррелла приобретает группу технологических услуг Zemoga

Тайваньский производитель NAS компания Synology сообщила, что недавно обнаруженные уязвимости OpenSSL, связанные с удаленным выполнением кода (RCE) и отказом в обслуживании (DoS), влияют на некоторые из его продуктов.

«Множественные уязвимости позволяют удаленным злоумышленникам проводить атаку типа« отказ в обслуживании »или выполнять произвольный код через уязвимую версию Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server или VPN Server», – поясняет компания. рекомендация по безопасности, опубликованная сегодня ранее .

Полный список устройств, подверженных уязвимостям безопасности, отмеченным как CVE-2021-3711 и CVE-2021-3712, включает DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server и VPN Server.

Патчи появятся в течение следующих 90 дней

Первая ошибка вызвана переполнением буфера на основе кучи в криптографическом алгоритме SM2, что обычно приводит к сбоям, но также может использоваться злоумышленниками для выполнения произвольного кода.

Второй недостаток – это переполнение буфера чтения при обработке строк ASN.1, что может быть использовано для сбоя уязвимых приложений при DoS-атаках или для получения доступа к содержимому частной памяти, например закрытым ключам или другой конфиденциальной информации.

Хотя группа разработчиков OpenSSL опубликовала OpenSSL 1.1.1l для устранения двух недостатков 24 августа, Synology сообщает, что выпуски уязвимых продуктов либо «текущие», либо «ожидающие».

Хотя Synology не предоставляет примерные сроки для этих входящих обновлений, компания сообщила BleepingComputer ранее в этом месяце, что обычно исправляет уязвимое программное обеспечение в течение 90 дней после публикации рекомендаций.

Уязвимости DiskStation Manager также исследуются

Производитель NAS также работает над обновлениями безопасности для нескольких уязвимостей DiskStation Manager (DSM) без присвоенных идентификаторов CVE и затрагивающих DSM 7.0, DSM 6.2, DSM UC, SkyNAS и VS960HD.

«Множественные уязвимости позволяют удаленным аутентифицированным пользователям выполнять произвольные команды или удаленным злоумышленникам записывать произвольные файлы через уязвимую версию DiskStation Manager (DSM)», – заявила компания Synology, публично раскрывая эти недостатки безопасности 17 августа.

«Наши команды все еще активно исследуют эту потенциальную уязвимость, и CVE будут назначены, когда будет раскрыта дополнительная информация», – заявила компания BleepingComputer на прошлой неделе, когда ее попросили поделиться информацией CVE ID об этих ошибках DSM.

Synology также добавила, что злоумышленники еще не воспользовались уязвимостями, раскрытыми в сообщении, опубликованном на прошлой неделе.

Ранее в этом месяце компания предупредила клиентов, что ботнет StealthWorker нацелен на их сетевые устройства хранения данных (NAS) с помощью грубой силы, которая приводит к заражению программами-вымогателями.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here