Le spécialiste du stockage en réseau (NAS) Synology a averti ses clients que certains de ses produits sont vulnérables à un certain nombre de vulnérabilités critiques.
« De multiples vulnérabilités permettent aux attaquants distants d’obtenir des informations sensibles et éventuellement d’exécuter du code arbitraire via une version sensible de Synology DiskStation Manager (DSM) et Synology Router Manager (SRM) », a déclaré la société dans un avis.
Les problèmes ont été découverts dans Netatalk, une implémentation open source du protocole Apple Filing, transformant les systèmes d’exploitation de type Unix en serveurs de fichiers.
Pas encore de correctif
L’équipe Netatalk a corrigé les problèmes il y a environ un mois, avec la version 3.1.1., BipOrdinateur signalé. Cependant, Synology indique que les versions de certains de ses terminaux concernés doivent encore être déployées.
Au total, quatre failles semblent affliger les appliances NAS de Synology, qui ont toutes reçu un score de gravité de 9,8/10.
Synology n’a fourni aucune date limite à laquelle il s’attend à ce que les correctifs soient publiés, mais BipComputerr dit que l’entreprise livre généralement de telles choses dans les trois mois suivant la divulgation de la vulnérabilité.
De plus, les appliances NAS exécutant DiskStation Manager (DSM) 7.1 ou version ultérieure ont déjà été corrigées, a-t-on dit.
Il y a moins d’une semaine, QNAP, un autre fournisseur de NAS, a découvert des vulnérabilités dans ses produits.
Découverts dans Apache HTTP Server 2.4.52 et versions antérieures, les bogues pourraient être utilisés pour effectuer des attaques de faible complexité qui ne nécessitent pas d’interaction avec la victime.
QNAP a averti les propriétaires de NAS d’appliquer les mesures d’atténuation connues, leur conseillant de conserver la valeur par défaut « 1M » pour LimitXMLRequestBody et de désactiver mod_sed, car ces deux choses bouchent efficacement les trous.
QNAP a également déclaré que le filtre de contenu in-process mod_sed est désactivé par défaut dans Apache HTTP Server sur les appareils NAS exécutant le système d’exploitation QTS.
« CVE-2022-22721 affecte les modèles de NAS QNAP 32 bits et CVE-2022-23943 affecte les utilisateurs qui ont activé mod_sed dans Apache HTTP Server sur leur appareil QNAP », a déclaré la société à l’époque.
Via BleepingComputer