I NAS di Synology sono molto noti e apprezzati ma non sono esenti da potenziali problemi come una falla zero-click (una vulnerabilità per la quale non è richiesto l’interazione dell’utente) recentemente scopeta che permette di eseguire interazioni dannose sul dispositivo, senza che l’obiettivo debba cliccare su un link, aprire un file dannoso o compiere qualsiasi altra azione.
Della vulnerabilità riferisce Wired sottolineando che questi dispositivi sono usati da moltissime persone e aziende in tutto il mondo per memorizzare documenti.
La falla è stata scoperta da un gruppo di ricercatori olandesi, ed è legata all’applicazione per la gestione delle foto installata di serie a varie unità di network-attached storage (NAS) prodotte dalla taiwanese Synology. Un bug consente a potenziali attacker di ottenere accesso ai dispositivi, rubare dati personali e aziendali, installare backdoor o infettare il sistema con un ransomware (cifrare i dati e chiedere in seguito un riscatto per riavere accesso agli stessi).
Per default il package SynologyPhotos è preinstallato di serie e attivato per default con i NAS della linea BeeStation, ma è anche molto scaricato dagli utenti dei sistemi di storage DiskStation.
Più volte in passato gruppi di cybercriminali hanno attaccato NAS di varie marche e bisogna adottare strategie per impedire l’accesso indesiderato a sistemi che ormai sono fondamentali in qualunque azienda, tenendo conto di piani di protezione dei dati con opzioni di ripristino veloci, cruciali per mitigare l’impatto del ransomware e altre forme di criminalità informatica.
Rick de Jager, ricercatore specializzato in sicurezza, ha individuato il problema in due ore nell’ambito della “gara per hacker Pwn2Own che si è svolta in Irlanda. Insieme ai colleghi Carlo Meijer, Wouter Bokslag e Jos Wetzels, ha scansionato dispositivi connessi a internet e individuato centina di migliaia di NAS Synology collegati online e vulnerabili. Synology è stata avvisata e il problema è stato risolto con l’aggiornamento rilasciato il 25 ottobre (nelle note di rilascio dell’update si fa riferimento alla soluzione di una vulnerabilità “critica”). Alcuni NAS non integrano funzionalità di aggiornamento automatico ed è quindi bene verificare manualmente l’eventuale presenza di update e installare quelli proposti.
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.