RISK:STATION sur les NAS Synology

Le fabricant de NAS Synology a publié deux bulletins d’alerte. Le premier concerne l’application Synology Photos 1.6 et 1.7 pour le DSM 7.2, avec un danger critique : « Une vulnérabilité permet aux attaquants distants d’exécuter du code arbitraire », ce qui est le scénario catastrophe. Le second est du même acabit, mais pour BeeStation OS 1.0 et 1.1 et l’application BeePhotos.

Dans tous les cas, des mises à jour sont disponibles. Synology précise que les failles ont été identifiées dans le cadre du concours Pwn2Own Ireland 2024. Synology remercie d’ailleurs Rick de Jager, chercheur en cybersécurité chez Midnight Blue, qui revendique la troisième place du concours.

Cette dernière a publié un billet de blog. L’entreprise y explique avoir démontré « cinq vulnérabilités zero-day dans les routeurs, les imprimantes, les caméras de sécurité et les périphériques de stockage réseau (NAS) ». Celle de Synology est baptisée RISK:STATION, avec un logo qui va bien… comme c’est la mode depuis quelques années.

Pour les détails, rendez-vous en 2025

Synology a été rapide à corriger le tir, selon Midnight Blue : « Le problème a été signalé à Synology immédiatement après la démonstration, et dans les 48 heures, un correctif a été mis à disposition pour résoudre la vulnérabilité ».

« Les détails techniques sont actuellement sous embargo jusqu’à ce qu’un délai suffisant se soit écoulé pour permettre l’application de correctifs afin de minimiser les risques d’abus généralisés ». Ils devraient être mis en ligne courant 2025.

QNAP corrige trois failles critiques

Dans le même temps, QNAP aussi réagit suite à des annonces faites durant le Pwn2Own Ireland 2024. Deux concernent ses produits : une vulnérabilité dans HBS 3 Hybrid Backup Sync et une autre dans le service SMB. Les deux sont critiques.

Dans le premier cas, HBS 3 Hybrid Backup Sync 25.1.x est touché, mais la version 25.1.1.673 corrige le tir. QNAP remercie Viettel Cyber Security pour le signalement de la faille. Pour SMB Service, les versions 4.15.x et h4.15.x sont concernées, avec des correctifs estampillés 4.15.002 et h4.15.002. Cette fois-ci, les remerciements vont à YingMuo et DEVCORE Internship Program.

QuRouteur enfin est aussi concerné, avec là encore une faille critique sur les versions 2.4.x. Elle est corrigée à partir de la mouture 2.4.5.032. C’est de nouveau Viettel Cyber Security qui est à l’honneur. QNAP ne donne aucun détail supplémentaire.

Viettel Cyber Security en profite pour savourer sa victoire dans un billet de blog, expliquant avoir remporté « le prix Pwn2Own 2024 en exploitant avec succès neuf vulnérabilités zero-day (vulnérabilités de sécurité jusqu’alors inconnues) dans des produits de HP, Canon, Synology, QNAP et d’autres, remportant un total de 33 points et un prix de plus de 200 000 dollars américains ».

Plus de 70 failles 0-day en quatre jours

Les comptes rendus des quatre jours du concours de piratage sont disponible par ici. Le premier jour, 52 failles 0-day ont été dévoilées, pour un total de plus de 70 vulnérabilités 0-day à la fin du concours. Plus d’un million de dollars a été distribué.

Le prochain rendez-vous est fixé du 22 au 24 janvier à Tokyo pour la deuxième édition du Pwn2Own Automotive.