Synology製NASのOSやアプリに深刻な脆弱性 - アップデートが公開

Synologyは、バグバウンティコンテストで報告された複数の深刻な脆弱性について明らかにした。アップデートを順次提供している。

バグバウンティコンテスト「PWN2OWN 2024」において報告を受けた4件の脆弱性を明らかにしたもの。いずれもアドバイザリの公開時点でCVE番号は採番されていない。

このうち3件のアドバイザリについては、重要度を4段階中もっとも高い「クリティカル（Critical）」としている。

具体的に見ると、Synology製NAS製品のOSである「DSM（DiskStation Manager）」において、リモートよりコードを実行したり、中間者攻撃によって管理者のセッションを取得できる脆弱性が判明した。また特定ファイルの読み書きなども可能となる。

識別子として「Synology-SA-24:20」が割り振られており、脆弱性を修正した「DSM 7.2.2-72806-1」をリリースした。「DSM 7.1」「DSMUC 3.1」向けのアップデートについても30日以内にリリースを目指して準備を進めている。

（Security NEXT - 2024/11/11 ）ツイート