شرکت تایوانی Synology با انتشار بیانیهای، آسیب پذیری بحرانی روز صفر CVE-2024-10443 را در محصول NAS[1] خود که در طول رقابت هک Pwn2Own Ireland 2024 در ایرلند مورد سوء استفاده قرار گرفته بود؛ پچ کرد.
Rick de Jager محقق امنیتی Midnight Blue در این مسابقات به مقام سوم دست یافت و پنج آسیب پذیری روز صفر را در روترها، چاپگرها، دوربینهای امنیتی و دستگاههای ذخیرهساز متصل به شبکه (NAS) کشف کرد.
یکی از این آسیب پذیری RISK:STATION نام دارد؛ یک آسیبپذیری بدون کلیک که به مهاجمان اجازه میدهد تا امکان اجرای کد به عنوان کاربر root را بر روی دستگاههای محبوب Synology DiskStation و BeeStation NAS به دست آورند.
آسیب پذیری CVE-2024-10443، میلیونها دستگاه را تحت تأثیر قرار میدهد. از این رو، ضروری است هر چه سریع تر پچ گردد. Synology نیز برای آسیب پذیری CVE-2024-10443، شناسههای خود را صادر کرده است که به شرح زیر میباشند:
نام محصول | شناسه Synology | شدت آسیب پذیری | توضیحات | نسخه آسیب پذیر | نسخه پچ شده |
BeePhotos | بحرانی | Synology BeeStation: یک آسیب پذیری در BeePhotos به مهاجمان راه دور اجازه می دهد تا کد دلخواه را اجرا کنند. | BeeStation OS 1.1 | ارتقا به 1.1.0-10053 یا بالاتر | |
BeePhotos | بحرانی | Synology BeeStation: یک آسیب پذیری در BeePhotos به مهاجمان راه دور اجازه می دهد تا کد دلخواه را اجرا کنند. | BeeStation OS 1.0 | ارتقا به 1.0.2-10026 یا بالاتر | |
Synology Photos | بحرانی | Synology DiskStation: یک آسیب پذیری در Synology Photos به مهاجمان راه دور اجازه می دهد تا کد دلخواه را اجرا کنند. | 1.7 برای DSM 7.2 | ارتقا به 1.7.0-0795 یا بالاتر | |
Synology Photos | بحرانی | Synology DiskStation: یک آسیب پذیری در Synology Photos به مهاجمان راه دور اجازه می دهد تا کد دلخواه را اجرا کنند. | 1.6 برای DSM 7.2 | ارتقا به 1.6.2-0720 یا بالاتر |
شرکت QNAPنیز ۲۹ اکتبر ۲۰۲۴، یک آسیب پذیری بحرانی روز صفر (CVE-2024-50388) را که در همان رقابتPwn2Own Ireland 2024 در دستگاه TS-464 NAS کشف شده بود، پچ کرد.
این آسیب پذیری ناشی از یک باگ تزریق فرمان سیستم عامل در نسخه X.25.1 محصول HBS 3 Hybrid Backup Sync است. یک مهاجم از راه دور میتواند از این آسیب پذیری برای اجرای دستورات کد دلخواه در دستگاههای آسیب پذیر سوء استفاده کند.
مسابقات Pwn2Own Ireland 2024طی چهار روز از ۲۲ تا 25 اکتبر ۲۰۲۴ در ایرلند برگزار شد و شرکت کنندگان با کشف بیش از 70 آسیب پذیری روز صفر، بیش از یک میلیون دلار جایزه دریافت کردند!
طبق گفته نمایندگان ZDI، رویداد بعدی Pwn2Own در بیست و دوم ژانویه ۲۰۲۵ در توکیو برگزار میشود. این دوره از مسابقات بر صنعت خودرو متمرکز خواهد بود و شامل چهار دسته تسلا(Tesla) ، سیستمهای اطلاعات سرگرمی داخل خودرو، شارژر خودروهای الکتریکی و سیستم عامل آن میشود.
[1] network-attached storage
