Synology opravuje zranitelnost s maximální závažností ve směrovačích VPN

Tchajwanský výrobce NAS Synology vyřešil zranitelnost s maximální (10/10) závažností ovlivňující směrovače nakonfigurované pro provoz jako servery VPN.

Zranitelnost, sledovaná jako CVE-2022-43931, byla objevena interně týmem Synology Product Security Incident Response Team (PSIRT) v softwaru VPN Plus Server a společnost jí přidělila maximální základní skóre CVSS3 10.

Tato chyba zabezpečení je popsána jako chyba zabezpečení přesahující hranice zápisu ve funkci Vzdálená plocha na serveru Synology VPN Plus Server před 1.4.3-0534 a 1.4.4-0635, která vzdáleným útočníkům umožňuje provádět libovolné příkazy prostřednictvím nespecifikovaných vektorů.

Chyba zabezpečení pro zápis nebo čtení mimo hranice umožňuje manipulovat s částmi paměti, které jsou přiděleny kritičtějším funkcím. To by mohlo útočníkovi umožnit zapsat kód do části paměti, kde bude spuštěn s oprávněními, která by program a uživatel neměli mít.

Dotčenými produkty jsou:

• VPN Plus Server pro SRM 1.3, který je třeba upgradovat na 1.4.4-0635 nebo vyšší,
• VPN Plus Server pro SRM 1.2, který je třeba upgradovat na 1.4.3-0534 nebo vyšší.

Přesné podrobnosti o zranitelnostech byly utajeny a uživatelé byli vyzváni, aby upgradovali na verze 1.2.5-8227-6 a 1.3.1-9346-3, aby zmírnili potenciální hrozby. Chcete-li upgradovat VPN Plus Server, přejděte do Centra balíčků, zastavte službu VPN Plus Server a nainstalujte nejnovější verzi prostřednictvím Centra balíčků.

https://www.malwarebytes.com/blog/news/2023/01/update-vpn-plus-server-now-synology-patches-serious-vulnerability

https://www.bleepingcomputer.com/news/security/synology-fixes-maximum-severity-vulnerability-in-vpn-routers/

https://www.msn.com/cs-cz/zpravy/other/uzivatele-by-meli-urychlene-aktualizovat-v-nekolika-typech-smerovacu-byly-objeveny-bezpecnostni-chyby/ar-AA15XFoY?li=BBOoZca