台湾的网络附加存储(NAS)制造商Synology最近发布了关于其VPN Plus Server软件中存在的严重漏洞的安全公告。该漏洞的严重性评级为最高(10/10),被追踪为CVE-2022-43931。
什么是VPN Plus Server?
VPN Plus Server是一个虚拟专用网络(VPN)服务器,允许管理员将Synology路由器配置为VPN服务器,以便实现对路由器后面资源的远程访问。
漏洞的影响
根据Synology的安全公告,该漏洞可以通过低复杂度的攻击进行利用,而无需在目标路由器上获得特权或用户交互。Synology表示:“一个漏洞允许远程攻击者可能通过易受影响的版本执行任意命令。”
具体来说,在1.4.3-0534和1.4.4-0635之前的Synology VPN Plus Server中的远程桌面功能存在越界写入漏洞,允许远程攻击者通过未指定的向量执行任意命令。
越界写入漏洞可能导致严重后果,例如数据损坏、系统崩溃以及在内存损坏后执行代码。
Synology的解决方案
Synology已经发布了安全更新以修复该漏洞,并建议客户将VPN Plus Server for SRM(Synology路由器管理器)升级到最新版本。以下是修复版本的可用性:
产品 | 修复版本可用性
---|---
VPN Plus Server for SRM 1.3 | 升级至1.4.4-0635或更高版本
VPN Plus Server for SRM 1.2 | 升级至1.4.3-0534或更高版本
其他安全问题
上个月,Synology还发布了第二个严重等级为“关键”的安全公告,宣布已修复多个安全漏洞。这些漏洞允许远程攻击者执行任意命令、进行拒绝服务攻击或读取易受影响版本的Synology路由器管理器(SRM)中的任意文件。
虽然Synology没有列出这些安全缺陷的CVE ID,但多位研究人员和团队因报告修复的漏洞而获得认可。其中至少有两个团队在2022年Pwn2Own多伦多黑客大赛的第一天成功演示了针对Synology RT6600ax路由器的零日漏洞利用。
Gaurav Baruah因对Synology RT6600ax的广域网接口执行命令注入攻击获得了20,000美元的奖励。Computest团队也因在关键的12月公告中获得认可,演示了针对同一款Synology路由器局域网接口的命令注入根壳利用。
总结
Synology对VPN Plus Server中的严重漏洞的及时修复展示了其对用户安全的重视。用户应尽快更新到最新版本,以保护其网络设备免受潜在攻击。确保定期检查和更新软件是维护网络安全的重要步骤。
