Összefoglaló
A Synology egyes adattárolói kapcsán több sérülékenység kerül napvilágra. Ezek jogosulatlan távoli rendszerhozzáférésre, műveltvégrehajtásra adhatnak lehetőséget.
Leírás
A legsúlyosabb biztonsági hibákat a Synology Video Station tartalmazza, amely SQL injection technikákkal válhat kompromittálhatóvá. Ennek hatására a támadók DBA jogosultságokkal férhetnek hozzá az integrált PostgreSQL szerverhez. Az érintett fájlok:
subtitle.cgi (subtitle_codepage paraméter)
watchstatus.cgi (id paraméter)
audiotrack.cgi (id paraméter)
Egy további sérülékenység az úgynevezett “download tasks by uploading files” funkciót sújtja. A hiba által az elkövetők speciálisan szerkesztett (például .torrent állományokkal) XSS-alapú károkozásokat hajthatnak végre. A hiba egyes bemeneti paraméterek nem megfelelő ellenőrzésére vezethető vissza.
Megoldás
A Synology már javította a hibákat, ezért az eszközök frissítésével orvosolhatók a sebezhetőségek.
Támadás típusa
Cross Site Scripting (XSS/CSS)SQL Injection
System access (Rendszer hozzáférés)
execute code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: securify.nl
Egyéb referencia: securify.nl