A Synology, fabricante de NAS com sede em Taiwan, acaba de corrigir uma vulnerabilidade de gravidade máxima (10/10) que afeta roteadores configurados para serem executados como servidores VPN.
Essa vulnerabilidade, rastreada como CVE-2022-43931, foi descoberta internamente pela Equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) da Synology no software VPN Plus Server e recebeu uma pontuação básica CVSS3 máxima de 10 pela empresa. VPN Plus Server é um servidor de rede privada virtual que permite aos administradores configurar roteadores Synology como um servidor VPN para permitir acesso remoto a recursos por trás do roteador.
Vulnerabilidade em roteadores VPN corrigida pela Synology
A vulnerabilidade pode ser explorada em ataques de baixa complexidade sem exigir privilégios nos roteadores de destino ou interação do usuário. De acordo com o comunicado divulgado pela empresa, “uma vulnerabilidade permite que invasores remotos executem comandos arbitrários por meio de uma versão suscetível do Synology VPN Plus Server”.
A vulnerabilidade de gravação fora dos limites na funcionalidade de área de trabalho remota no Synology VPN Plus Server anterior a 1.4.3-0534 e 1.4.4-0635 permite que invasores remotos executem comandos arbitrários por meio de vetores não especificados.
Vulnerabilidades de gravação fora dos limites podem resultar em impactos graves, como corrupção de dados, travamentos do sistema e execução de código após corrupção de memória.
Felizmente, a Synology lançou atualizações de segurança para corrigir o bug e aconselha os clientes a atualizar o VPN Plus Server para SRM (Synology Router Manager) para a versão mais recente disponível.
Vulnerabilidade crítica
No mês passado, a Synology emitiu um segundo aviso classificado como de gravidade crítica e anunciou que corrigiu várias vulnerabilidades de segurança no Synology Router Manager.
Múltiplas vulnerabilidades permitem que invasores remotos executem comandos arbitrários, conduzam ataques de negação de serviço ou leiam arquivos arbitrários por meio de uma versão suscetível do Synology Router Manager (SRM).
Embora a Synology não tenha listado os IDs CVE das falhas de segurança, vários pesquisadores e equipes são creditados por relatar os bugs corrigidos, com pelo menos dois deles tendo demonstrado com sucesso explorações de zero dia visando o roteador Synology RT6600ax durante o primeiro dia do Pwn2Own Concurso de hackers Toronto 2022.
Gaurav Baruah ganhou $ 20.000 (pouco mais de R$ 109 mil) por executar um ataque de injeção de comando contra a interface WAN do Synology RT6600ax. A Computest, que também foi creditada no comunicado crítico de dezembro, demonstrou uma exploração de shell raiz de injeção de comando visando a interface LAN do mesmo roteador Synology.