Especialistas en ciberseguridad reportan el hallazgo de al menos siete vulnerabilidades críticas en DiskStation Manager (DSM), el sistema operativo intuitivo basado en web diseñado para los productos Synology Network Attached Storage (NAS). Acorde al reporte, la explotación exitosa de estas vulnerabilidades permitiría a los actores de amenazas extraer información confidencial e incluso ejecutar código arbitrario en los sistemas comprometidos, entre otros escenarios de riesgo.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).
CVE-2021-26560: El software afectado utiliza un canal de comunicación inseguro para transmitir información confidencial dentro de la funcionalidad del buscador en synoagent. Los actores de amenazas remotos puede realizar un ataque Man-in-The-Middle (MiTM) para extraer datos confidenciales.
La falla recibió un puntaje CVSS de 5.9/10.
CVE-2021-26561: Un error de límite al procesar el encabezado HTTP “syno_finder_site” permitiría a los hackers maliciosos no autenticados desplegar ataques MiTM para desencadenar un desbordamiento de búfer basado en pila.
La falla recibió un puntaje CVSS de 7.8/10 y su ejecución exitosa permitiría la ejecución de código arbitrario en el sistema objetivo.
CVE-2021-26562: Un error de límite al procesar el encabezado HTTP “syno_finder_site” permitiría a los hackers remotos realizar ataques MiTM, activando la escritura fuera de los límites para desencadenar la ejecución de código arbitrario en el sistema objetivo.
La vulnerabilidad recibió un puntaje de 7.1/10 y su explotación permitiría que los actores de amenazas remotos comprometer los sistemas vulnerables.
CVE-2021-26563: La implementación inadecuada de restricciones de acceso en el perfil de agente de búsqueda de síntesis de AppArmor permitiría a los administradores locales usar un módulo de kernel especialmente diseñado para esquivar las restricciones de AppArmor.
La falla recibió un puntaje de 7.1/10 su explotación permitiría que un usuario local obtenga acceso no autorizado a funciones restringidas en condiciones normales.
CVE-2021-26564: El software afectado utiliza un canal de comunicación inseguro para transmitir información sensible en synorelayd. Los actores de amenazas remotos pueden realizar ataques MiTM para falsificar servidores a través de una sesión HTTP.
La falla recibió un puntaje CVSS de 5.3/10, señalan los expertos en ciberseguridad.
CVE-2021-26565: El software utiliza un canal de comunicación inseguro para transmitir información sensible en synorelayd. Los hackers pueden realizar ataques MiTM para obtener información confidencial mediante una sesión HTTP.
La vulnerabilidad recibió un puntaje CVSS de 5.3/10 y su explotación permitiría a los actores de amenazas remotos obtener acceso a información confidencial.
CVE-2021-26566: La inserción de información sensible en los datos enviados en synorelayd permitiría a los actores de amenazas remotos realizar ataques MiTM para ejecutar comandos arbitrarios a través de QuickConnect.
La falla recibió un puntaje CVSS de 7.1/10 y su explotación permitiría el compromiso del sistema objetivo.
Acorde al reporte de Synology, estas fallas residen en las siguientes versiones de DiskStation Manager: 6.2.3 25426-2.
Aunque la mayoría de las vulnerabilidades reportadas pueden ser explotadas por actores de amenazas remotos no autenticados, los expertos en ciberseguridad no han detectado intentos de explotación activa o la existencia de una variante de malware vinculada al ataque.
Las fallas ya han sido corregidas, por lo que Synology recomienda a los usuarios de implementaciones afectadas instalar las actualizaciones a la brevedad. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).