Le spécialiste du stockage en réseau (NAS) Synology a averti ses clients que certains de ses produits sont vulnérables à un certain nombre de vulnérabilités critiques.
"De multiples vulnérabilités permettent aux attaquants distants d'obtenir des informations sensibles et éventuellement d'exécuter du code arbitraire via une version sensible de Synology DiskStation Manager (DSM) et Synology Router Manager (SRM)", a déclaré la société dans un avis.
Les problèmes ont été découverts dans Netatalk, une implémentation open source du protocole de fichiers d'Apple, qui transforme les systèmes d'exploitation de type Unix en serveurs de fichiers.
pas encore de patch
L'équipe Netatalk a corrigé les problèmes il y a environ un mois, avec la version 3.1.1., a rapporté BleepingComputer. Cependant, Synology indique que les versions de certains de ses terminaux concernés n'ont pas encore été déployées.
Au total, quatre failles semblent affecter les périphériques NAS de Synology, qui ont toutes reçu un score de gravité de 9,8/10.
Synology n'a fourni aucun délai dans lequel il s'attend à ce que des correctifs soient publiés, mais BleepingComputer indique que la société fournit généralement de telles choses dans les trois mois suivant la divulgation de la vulnérabilité.
De plus, les périphériques NAS exécutant DiskStation Manager (DSM) 7.1 ou version ultérieure ont déjà été corrigés, a-t-on dit.
Il y a moins d'une semaine, QNAP, un autre fournisseur de NAS, a découvert des vulnérabilités dans ses produits.
Découverts dans Apache HTTP Server 2.4.52 et versions antérieures, les bogues pourraient être utilisés pour effectuer des attaques de faible complexité qui ne nécessitent pas d'interaction avec la victime.
QNAP a averti les propriétaires de NAS d'appliquer les mesures d'atténuation connues, leur conseillant de conserver la valeur par défaut "1M" pour LimitXMLRequestBody et de désactiver mod_sed, qui bouchent efficacement les trous.
QNAP a également noté que le filtre de contenu in-process mod_sed est désactivé par défaut dans le serveur HTTP Apache sur les appareils NAS exécutant le système d'exploitation QTS.
"CVE-2022-22721 affecte les modèles de NAS QNAP 32 bits et CVE-2022-23943 affecte les utilisateurs qui ont activé mod_sed sur Apache HTTP Server sur leur appareil QNAP", a déclaré la société à l'époque.
Via BleepingComputer