Synology publie un correctif de sécurité pour une faille zero-day exploitée au Pwn2Own 2024 !
Synology a publié un nouveau correctif de sécurité pour combler une faille de sécurité zero-day présente dans Synology Photos, une application pour DSM, son système d'exploitation pour NAS. Il s'agit d'une vulnérabilité découverte lors de la compétition de hacking Pwn2Own. Faisons le point.
À l'occasion de la compétition de hacking Pwn2Own Ireland 2024 qui s'est déroulée du 22 au 25 octobre 2024, les participants sont parvenus à découvrir des vulnérabilités dans plusieurs produits. Côté NAS, nous pouvons citer cette vulnérabilité dans Synology Photos pour DSM, ainsi que l'application de sauvegarde pour NAS QNAP (CVE-2024-50388).
Pour rappel, Synology Photos est une application développée par le fabricant de NAS lui-même. Elle permet de gérer sa bibliothèque de photos et vidéos personnelles directement sur son NAS, tout en permettant la synchronisation automatique entre son smartphone et un NAS. Elle n'est pas installée par défaut sur DSM, mais elle est relativement populaire puisqu'elle compte plus de 9 millions de téléchargements.
Synology Photos et la CVE-2024-10443
Désormais associée à la référence CVE-2024-10443, la nouvelle faille de sécurité zero-day a été découverte par Rick de Jager, un chercheur en sécurité de chez Midnight Blue. Elle affecte l'application Synology Photos pour NAS et BeePhotos pour la solution BeeStation.
Surnommée "RISK:STATION" par le chercheur en sécurité, cette vulnérabilité de type "zero-click" peut permettre à un attaquant non authentifié d'éxécuter du code en tant que root sur les NAS Synology DiskStation et BeeStation. Dans son bulletin de sécurité, Synology évoque une faille de sécurité critique qui "permet à des attaquants distants d'exécuter un code arbitraire".
Pour information, lors de cette compétition de hacking, une première vulnérabilité a été découverte dans Synology Photos. Puis, quelques heures plus tard, la vulnérabilité découverte par Rick de Jager a été découverte et acceptée à la place de la première soumission. "La vulnérabilité a été initialement découverte, en l'espace de quelques heures seulement, en remplacement d'une autre soumission Pwn2Own. Le problème a été révélé à Synology immédiatement après la démonstration et, dans les 48 heures, un correctif a été mis à disposition pour résoudre la vulnérabilité.", peut-on lire dans le rapport de Midnight Blue.
Il est important de préciser que Synology s'est montré réactif pour la publication de ce correctif. Selon les règles de la compétition, les entreprises disposent de 90 jours pour publier un correctif avant que la Zero Day Initiative de Trend Micro publie les détails techniques sur les vulnérabilités découvertes.
Comment protéger son NAS ?
Vous pouvez dès à présent protéger votre NAS puisqu'un correctif de sécurité est disponible pour DSM 7.2 :
- Synology Photos 1.7 pour DSM 7.2 : mettre à jour vers la version 1.7.0-0795 ou supérieure.
- Synology Photos 1.6 pour DSM 7.2 : mettre à jour vers la version 1.6.2-0720 ou supérieure.
Sur les NAS, la mise à jour de l'application doit être effectuée à partir du Centre de paquets depuis DSM. Il n'est pas précisé si ces versions de Synology Photos sont disponibles pour des versions antérieures de DSM.
Concernant BeeStation, voici les informations fournies :
- BeePhotos pour BeeStation OS 1.1 : mettre à jour vers la version 1.1.0-10053 ou supérieure.
- BeePhotos pour BeeStation OS 1.0 : mettre à jour vers la version 1.0.2-10026 ou supérieure.
Si votre NAS est exposé sur Internet et que vous utilisez Synology Photos, vous devez installer cette mise à jour dès que possible. Pour le moment, cette vulnérabilité n'est pas exploitée dans le cadre de cyberattaques, mais cela pourrait évoluer.
Pour les vieux NAS sous DSM 6.2.4-25556 Update 7, y a t-il un correctif de sécurité à appliquer ?
Les gars y a pas que syno dans la vie
Pourquoi tu dis ça ? ^^