Một lỗ hổng bảo mật trong ứng dụng Synology Photos khiến người dùng dễ bị tấn công Zero-Click

Một lỗ hổng thực thi mã từ xa (RCE) nguy hiểm mới được xác định trong các thiết bị lưu trữ gắn mạng (NAS) của Synology, có thể khiến hàng triệu người dùng trên toàn thế giới gặp rủi ro bảo mật nghiêm trọng. Lỗ hổng này cho phép kẻ tấn công truy cập từ xa vào các hệ thống mục tiêu mà không yêu cầu bất kỳ tương tác nào từ người dùng.

Được phân loại là zero-click", dạng lỗ hổng này cho phép kẻ tấn công khai thác các thiết bị Synology mà không yêu cầu người dùng mở tệp hoặc nhấp vào liên kết. Sự cố bắt nguồn từ hai ứng dụng: Synology Photos (Synology-SA-24:19) và BeePhotos (Synology-SA-24:18). Cả hai ứng dụng này đều được cài đặt sẵn và bật theo mặc định trên dòng thiết bị lưu trữ mạng Bee dành cho người tiêu dùng của Synology. Ứng dụng Photos cũng là ứng dụng tải xuống phổ biến trong số những người dùng hệ thống DiskStation.

Công ty an ninh mạng Hà Lan Midnight Blue là đơn vị phát hiện ra lỗ hổng bảo mật này đầu tiên trong khuôn khổ sự kiện Pwn2Own thường niên do Zero Day Initiative tổ chức, và ước tính rằng hàng triệu người dùng Synology có thể gặp rủi ro từ lỗ hổng RCE này, nằm trong một phần của ứng dụng Photos và BeePhotos không yêu cầu xác thực.

Với mức độ truy cập này, kẻ tấn công hoàn toàn có thể đánh cắp dữ liệu nhạy cảm, cài đặt phần mềm tống tiền để chặn quyền truy cập của người dùng, hoặc thậm chí cài đặt backdoor để khai thác lâu dài. Các nhà nghiên cứu của Midnight Blue phát hiện ra rằng lỗ hổng có thể bị khai thác cho dù thiết bị NAS Synology được kết nối trực tiếp với internet hay được truy cập từ xa thông qua dịch vụ QuickConnect của công ty. Đây là dịch vụ mà nhiều người dùng dựa vào để truy cập từ xa thuận tiện hơn.

Trong phân tích của mình, nhóm Midnight Blue đã quét các thiết bị NAS được kết nối internet và bước đầu xác định được hàng trăm nghìn hệ thống Synology dễ bị tấn công. Quá trình quét của nhóm đã phát hiện ra các hệ thống có khả năng dễ bị tấn công đang được các cơ quan thực thi pháp luật, công ty luật và nhà thầu sử dụng trong các lĩnh vực quan trọng, chẳng hạn như bảo trì lưới điện, dược phẩm và hoạt động vận chuyển hàng hóa.

Mặc dù Synology đã phát hành bản vá bảo mật để giải quyết lỗ hổng được phân loại là "nghiêm trọng" này, người dùng vẫn được khuyến nghị phải tải xuống và cài đặt bản cập nhật theo cách thủ công vì các thiết bị NAS của công ty không tự động cập nhật.

Hậu quả của lỗ hổng này đặc biệt đáng lo ngại, vì các cuộc tấn công ransomware nhắm vào các thiết bị Synology đã được báo cáo. Đầu năm nay, người dùng hệ thống DiskStation cũng đã bị nhắm mục tiêu trong một sự cố ransomware, làm nổi bật những rủi ro thực tế liên quan đến lỗ hổng này. Người dùng Synology được khuyến cáo nên cài đặt các bản cập nhật bảo mật mới nhất càng sớm càng tốt và cân nhắc các biện pháp bảo mật bổ sung, chẳng hạn như hạn chế quyền truy cập từ xa thông qua QuickConnect và thiết lập cổng xác thực.

Cũng đã có một số lỗ hổng liên quan đến các hệ thống NAS khác được phát hiện trong khuôn khổ Pwn2Own 2024. QNAP đã phát hành một khuyến cáo liên quan đến CVE-2024-50388, một lỗ hổng tiêm lệnh hệ điều hành quan trọng trong giải pháp HBS 3 Hybrid Backup Sync, có thể bị khai thác để thực thi lệnh từ xa. Tương tự, TrueNAS cũng đã phát hành một khuyến cáo và bắt đầu làm việc trên các bản vá cho các lỗ hổng được trình diễn trong cuộc thi, cảnh báo người dùng rằng các lỗ hổng này được hiển thị đối với các cài đặt mặc định, không được bảo vệ.

Lỗ hổng nghiêm trọng này nhấn mạnh tầm quan trọng của việc cập nhật bảo mật thường xuyên cho các thiết bị NAS để giảm nguy cơ vi phạm dữ liệu, phần mềm tống tiền và truy cập trái phép vào dữ liệu có giá trị được lưu trữ trên các hệ thống được kết nối internet.