网络附加存储设备(NAS)制造商群晖科技(Synology)迅速解决了在最近的 Pwn2Own 黑客活动中发现的两个关键零日漏洞。这两个漏洞被命名为RISK:STATION,代号为CVE-2024-10443,由Midnight Blue安全研究员Rick de Jager在Synology Photos和BeeStation的BeePhotos软件中发现。这些零点击漏洞在一台Synology BeeStation BST150-4T上进行了演示,允许远程攻击者通过root权限在易受攻击的、暴露在互联网上的NAS系统上执行代码。演示结束后,Synology 立即收到通知,并在 48 小时内发布了补丁程序以降低风险。午夜蓝 “强调,由于犯罪滥用的可能性很高,而且有数百万台设备可能受到影响,因此用户迫切需要应用这些更新。为了加强这种紧迫性,我们还发布了媒体公告,鼓励用户立即采取行动。群暉科技提供下列更新以保障系統安全:– BeePhotos for BeeStation OS 1.1: 更新至 1.1.0-10053 或更新版本– BeePhotos for BeeStation OS 1.0:更新至版本 1.0.2 或更新版本: 更新至版本 1.0.2-10026 或更新版本– Synology Photos 1.7 for DSM 7.2: 更新至版本 1.7.0-0795 或更新版本– Synology Photos 1.6 for DSM 7.2:更新至版本 1.6.2 或更高版本: 更新至 1.6.2-0720 或更新版本另一家著名的 NAS 供应商 QNAP 也在一周内发布了针对 Pwn2Own 上被利用的漏洞的补丁,特别是在其 SMB 服务和混合备份同步解决方案中。Synology 和 QNAP 都加快了修补程序的速度,尽管趋势科技的零日计划通常会给供应商分配 90 天的时间来进行全面披露。这种紧迫性反映了一个事实,即 NAS 设备通常被个人和组织用来存储敏感信息,而且经常暴露在互联网上供远程访问,因此成为网络犯罪分子的目标。攻击者经常利用弱密码和未修补的漏洞窃取或加密数据,然后向所有者勒索赎金。在2024年爱尔兰Pwn2Own大会上展示了Synology零时差的Midnight Blue安全研究人员告诉网络安全记者Kim Zetter,他们在美国和欧洲警察部门以及韩国、意大利和加拿大的关键基础设施承包商的网络中发现了暴露的Synology NAS设备。自2016年以来,eCh0raix (QNAPCrypt)等勒索软件就一直以这些系统为目标。近年来,攻击者越来越多地使用其他勒索软件类型(如 DeadBolt 和 Checkmate)以及各种漏洞来锁定暴露在互联网上的 NAS 设备并勒索赎金。
