Synology修补了其网络连接存储设备中的严重缺陷

网络附加存储(NAS)制造商Synology修复了其设备软件中的几个漏洞,其中一个漏洞可能使攻击者破坏了存储在其中的数据。

最严重的漏洞位于Synology Photo Station,它是DiskStation Manager(DSM)的功能,DiskStation Manager(DSM)是在公司的NAS设备上运行的基于Linux的操作系统。

Synology Photo Station允许用户创建在线相册和博客,可以使用NAS设备的公共IP(Internet协议)地址进行远程访问。

荷兰公司Securify的研究人员发现,Photo Station不能正确清理用户输入的内容,从而使潜在的攻击者可以注入将使用Web服务器特权执行的系统命令。

此外,Photo Station并没有针对跨站点请求伪造(CSRF)的保护,CSRF是一种允许网站强制访问者的浏览器在其他网站上执行恶意操作的技术。

因此,即使未将Photo Station配置为可从Internet访问,攻击者也可能欺骗与NAS设备位于同一网络上的用户访问特制网页,该网页将使用CSRF来利用LAN上的命令注入漏洞。

研究人员表示,通过利用此缺陷,攻击者可能会破坏NAS设备,包括存储在其中的所有数据。 咨询 其中还包括概念验证漏洞。

Synology上周在Photo Station的6.3-2945版中修复了此漏洞。然而 发行说明 仅提及“安全性增强”,没有其他详细信息。

新版本也解决了 两个跨站点脚本(XSS)漏洞 由Securify研究人员确定的。

通过诱骗Photo Station用户打开特制的URL,该URL将在其浏览器中执行恶意代码,可以利用这些漏洞。成功的攻击可以使攻击者窃取目标Photo Station用户的会话令牌或登录凭据,或代表他们执行任意操作。

一个类似的漏洞 Synology上周在DiskStation Manager的管理界面中也对其进行了修补。建议用户升级到DSM版本5.2-5565更新1。

过去,Synology NAS设备已成为黑客的目标。去年,攻击者利用了一个漏洞 感染许多此类设备 使用文件加密勒索软件程序以及以前的黑客入侵的Synology设备 运行加密货币挖矿程序 在他们。

有关:

版权© 2015 IDG通讯,Inc.