Synology ออกอัปเดตแก้ไขช่องโหว่ Zero-Days ที่ถูกใช้โจมตีในงาน Pwn2Own

Synology ผู้ผลิตอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย (NAS) ของไต้หวัน ได้แก้ไขช่องโหว่ระดับ Critical 2 รายการที่ถูกโจมตีในการแข่งขัน Pwn2Own hacking competition

Rick de Jager นักวิจัยด้านความปลอดภัยของบริษัท Midnight Blue ได้ค้นพบช่องโหว่ระดับ Critical แบบ zero-click (CVE-2024-10443 และถูกเรียกว่า RISK:STATION) ในซอฟต์แวร์ Synology Photos และ BeePhotos สำหรับ BeeStation ของบริษัท

จากการสาธิตการโจมตีช่องโหว่ดังกล่าวในงาน Pwn2Own Ireland 2024 ที่ทำการโจมตีอุปกรณ์ Synology BeeStation BST150-4T ทำให้สามารถเข้าถึงการเรียกใช้คำสั่งจากระยะไกลในสิทธิ์ Root บนอุปกรณ์ NAS ที่มีช่องโหว่ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต

Midnight Blue ระบุว่า ช่องโหว่นี้ถูกค้นพบในเวลาเพียงไม่กี่ชั่วโมง และหลังจากเผยแพร่ใน Pwn2Own หลังจากนั้น Synology ก็ได้ทำการแก้ไขช่องโหว่ภายใน 48 ชั่วโมง อย่างไรก็ตาม เนื่องจากช่องโหว่ดังกล่าวมีความเสี่ยงสูงจากการถูกโจมตี และส่งผลกระทบต่ออุปกรณ์หลายล้านเครื่อง จึงได้แจ้งเตือนให้ผู้ใช้งานรับทราบ และหาทางป้องกันโดยด่วน

Synology ได้ออกคำแนะนำในการแก้ไขช่องโหว่ โดยทำการอัปเดตเป็นซอฟต์แวร์ ดังต่อไปนี้ :

  • BeePhotos for BeeStation OS 1.1: อัปเกรดเป็น 1.0-10053 ขึ้นไป
  • BeePhotos for BeeStation OS 1.0 : อัปเกรดเป็น 0.2-10026 หรือสูงกว่า
  • Synology Photos 1.7 for DSM 7.2 : อัปเกรดเป็น 7.0-0795 ขึ้นไป
  • Synology Photos 1.6 for DSM 7.2 : อัปเกรดเป็น 6.2-0720 ขึ้นไป

QNAP ผู้ผลิตอุปกรณ์ NAS สัญชาติไต้หวันอีกราย ได้แก้ไขช่องโหว่ zero-day ระดับ Critical อีก 2 รายการที่ถูกใช้ในการโจมตีระหว่างการแข่งขัน Pwn2Own ภายในเวลาเพียงสัปดาห์เดียว (ใน SMB Service ของโซลูชัน Hybrid Backup Sync disaster recovery และ data backup solution)

ในขณะที่ Synology และ QNAP กำลังเร่งดำเนินการอัปเดตแพตซ์ด้านความปลอดภัย โดยผู้ให้บริการมีเวลา 90 วันจนกว่า Zero Day Initiative ของ Trend Micro จะเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ที่ถูกเปิดเผยในระหว่างการแข่งขัน Pwn2Own และโดยปกติแล้วมักจะใช้เวลาในการเผยแพร่การแก้ไขช่องโหว่

อุปกรณ์ NAS ถูกใช้ในการจัดเก็บข้อมูลที่มีความสำคัญ โดยลูกค้าทั้งในระดับทั่วไป และระดับองค์กร และมักถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต พฤติกรรมลักษณะนี้ทำให้อุปกรณ์เหล่านี้กลายเป็นเป้าหมายของ Hacker ที่ใช้ประโยชน์จากรหัสผ่านที่คาดเดาได้ง่าย หรือช่องโหว่เพื่อเจาะระบบ, ขโมยข้อมูล, เข้ารหัสไฟล์ และขู่กรรโชกเจ้าของข้อมูล โดยเรียกค่าไถ่เพื่อให้เข้าถึงไฟล์ที่ถูกเข้ารหัสได้

ซึ่งทางนักวิจัยด้านความปลอดภัยของบริษัท Midnight Blue ได้ค้นพบอุปกรณ์ Synology NAS ที่เข้าถึงได้จากอินเทอร์เน็ตบนเครือข่ายของกรมตำรวจในสหรัฐอเมริกา และยุโรป รวมถึงผู้รับเหมาโครงสร้างพื้นฐานที่สำคัญจากเกาหลีใต้ อิตาลี และแคนาดา

QNAP และ Synology ได้แจ้งเตือนลูกค้ามาหลายปีแล้วว่าอุปกรณ์ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต กำลังตกเป็นเป้าหมายของการโจมตีด้วยแรนซัมแวร์ ตัวอย่างเช่น eCh0raix ransomware (หรือที่รู้จักในชื่อ QNAPCrypt) ซึ่งถูกพบครั้งแรกในเดือนมิถุนายน 2016 ซึ่งได้โจมตีอุปกรณ์ NAS อยู่เป็นประจำ โดยมีรายงานการโจมตีขนาดใหญ่ 2 ครั้งในเดือนมิถุนายน 2019 (กับอุปกรณ์ QNAP และ Synology) และในเดือนมิถุนายน 2020

ในการโจมตีระลอกล่าสุด Hacker ยังใช้มัลแวร์สายพันธุ์อื่น ๆ (รวมถึง DeadBolt และ Checkmate ransomware) และช่องโหว่ด้านความปลอดภัยต่าง ๆ เพื่อเข้ารหัสอุปกรณ์ NAS ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต

ที่มา : bleepingcomputer