01/28/2023

Synology ปล่อยแพ็ตช์อุดช่องโหว่ RCE ร้ายแรงบนเซิร์ฟเวอร์ VPN Plus

Synology ออกตัวอัปเดตด้านความปลอดภัยมาแก้ไขช่องโหว่ระดับร้ายแรงบน VPN Plus Server ที่เปิดช่องให้แฮ็กเกอร์อาจเข้ามาควบคุมระบบได้ โดยมันอยู่ภายใต้รหัส CVE-2022-43931 ได้คะแนนความรุนแรงเต็มแม็กซ์ = 10 ตามสเกล CVSS

ต้องบอกว่าจัดเป็นบั๊กแบบ Out-of-Bounds Write ที่อยู่ในส่วนของรีโมทเดสก์ท็อปใน Synology VPN Plus Server ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการรันคำสั่งอันตรายได้จากระยะไกล ทั้งนี้บริษัทแจ้งว่าค้นพบช่องโหว่ระหว่างการตรวจสอบภายในของทีม Product Security Incident Response Team (PSIRT)

พร้อมแนะนำให้ผู้ใช้ VPN Plus Server for Synology Router Manager (SRM) 1.2 และ VPN Plus Server for SRM 1.3 รีบอัปเดตเป็นเวอร์ชั่น 1.4.3-0534 และ 1.4.4-0635 ตามลำดับ นอกจากนี้ยังเตือนช่องโหว่อีกหลายรายการในระบบ SRM ด้วย

โดยช่องโหว่กลุ่มดังกล่าวอาจเปิดช่องให้ผู้โจมตีจากระยะไกลรันคำสั่งต่างๆ ใช้โจมตีแบบ Denial-of-Service หรืออ่านข้อมูลไฟล์ต่างๆ ได้ แม้จะยังไม่ได้เผยรายละเอียดเพิ่มเติม แต่ก็ร้องขอให้ผู้ใช้อัพเกรดมาเป็นเวอร์ชั่น 1.2.5-8227-6 และ 1.3.1-9346-3 เพื่อป้องกันอันตรายที่อาจเกิดขึ้น

อ่านเพิ่มเติมที่นี่ – THN