台湾のネットワーク接続ストレージ (NAS) アプライアンス メーカーである Synology は、先週の Pwn2Own ハッキング大会で悪用された 2 つの重大なゼロデイに、数日以内にパッチを適用しました。
Midnight Blue のセキュリティ研究者 Rick de Jager は、同社の Synology Photos および BeePhotos for BeeStation ソフトウェアに致命的なゼロクリック脆弱性 (CVE-2024-10443として追跡され、RISK:STATION と名付けられた) を発見しました。
この欠陥が Pwn2Own Ireland 2024 でデモされ、Synology BeeStation BST150-4T デバイスが乗っ取られた 2 日後に公開されたセキュリティ アドバイザリでSynology が説明しているように、このセキュリティ欠陥により、リモートの攻撃者はオンラインで公開されている脆弱な NAS アプライアンス上で root としてリモート コードを実行することができます。
“この脆弱性は当初、別の Pwn2Own 投稿の置き換えとして、わずか数時間のうちに発見されました。この問題はデモの直後に Synology に開示され、48 時間以内に脆弱性を解決するパッチが提供されました」と、Midnight Blue は述べています。
「しかし、この脆弱性は犯罪に悪用される可能性が高く、何百万台ものデバイスが影響を受けているため、この問題をシステム所有者に知らせ、早急な緩和措置が必要であることを強調するために、メディアへのリーチが行われました。
Synology は、以下のソフトウェア リリースで脆弱性に対処したと述べています。しかし、脆弱性のあるシステムには自動的に適用されませんので、潜在的な攻撃をブロックするために、できるだけ早くアップデートすることをお勧めします:
- BeePhotos for BeeStation OS 1.1:1.1.0-10053以上にアップグレードしてください。
- BeePhotos for BeeStation OS 1.0:1.0.2-10026 またはそれ以上にアップグレードしてください。
- Synology Photos 1.7 for DSM 7.2:1.7.0-0795 以降にアップグレードしてください。
- DSM 7.2 用 Synology Photos 1.6:1.6.2-0720 以降にアップグレードしてください。
同じく台湾の NAS デバイスメーカーである QNAP は、ハッキング コンテストで悪用された2 つの重大なゼロデイに、1 週間以内にパッチを適用しました (同社の SMB Service と Hybrid Backup Sync 災害復旧およびデータ バックアップ ソリューション)。
Synology と QNAP はセキュリティ アップデートを急ぎましたが、ベンダーにはトレンドマイクロのゼロデイ イニシアチブがコンテスト中に公開されたバグの詳細を発表するまで 90 日間の猶予が与えられており、通常パッチのリリースには時間がかかります。
これは、NASデバイスが一般家庭と企業の両方の顧客によって機密データを保存するために一般的に使用され、リモートアクセスのためにインターネットアクセスにさらされることも多いためと思われる。しかしそのため、脆弱なパスワードや脆弱性を悪用してシステムに侵入し、データを盗み出し、ファイルを暗号化し、失われたファイルへのアクセスを提供するために身代金を要求して所有者を恐喝するサイバー犯罪者のターゲットになりやすい。
Pwn2Own Ireland 2024 で Synology のゼロデイをデモした Midnight Blue セキュリティ研究者が、サイバーセキュリティ ジャーナリストの Kim Zetter 氏(セキュリティ アップデートについて最初に報告した人物)に語ったところによると、米国とヨーロッパの警察署、韓国、イタリア、カナダの重要なインフラストラクチャ請負業者のネットワーク上に、インターネットに公開された Synology NAS デバイスがあることが判明しました。
QNAP と Synology は何年も前から、オンラインに露出したデバイスがランサムウェア攻撃の標的になっていることを顧客に警告してきました。例えば、2016 年 6 月に初めて表面化した eCh0raix ランサムウェア (QNAPCrypt とも呼ばれる) は、このようなシステムを定期的に標的にしており、2019 年 6 月 (QNAPおよびSynologyデバイスに対して) と2020 年 6月に報告された 2 つの大規模なものが際立っています。
さらに最近の攻撃の波では、脅威行為者はインターネットに露出したNASデバイスを暗号化するために、他のマルウェア株(DeadBoltや Checkmateランサムウェアを含む)やさまざまなセキュリティ脆弱性も利用しています。
Comments