Synology VPN Plus Sunucusu güvenlik açığı nedeniyle savunmasız

celeron

Global Mod
Global Mod
Synology şirketi, yönlendirici işletim sistemleri için VPN Plus Sunucusunda bir güvenlik açığı olduğu konusunda uyarıda bulunuyor. Üreticiler ve Federal Bilgi Güvenliği Ofisi (BSI), güvenlik açığı riskini farklı şekilde sınıflandırır. Synology bunu orta olarak değerlendirirken, BSI kritik bir boşluk olduğunu varsayar.


Güvenlik danışma belgesinde, Synology çok belirsiz kalıyor. Ağdaki saldırganlar, SQL komutlarını Synology VPN Plus Server’ın savunmasız sürümlerine enjekte edebilir, yazarlar yalnızca yazar. Henüz bir CVE numarası yok, ancak etkisi orta düzeyde. Geçici karşı önlemler yoktur.

Synology Güvenlik Açığı: Orta Derecede mi, Kritik Derecede mi?


BSI, güvenlik açığını CERT-Bund web sitesinde de listeler. Ancak oradaki BT uzmanları, Synology açıklamasının aksine, saldırganların oturum açmadan dosyaları manipüle edebileceğini açıklıyor. Bu, kritik bir güvenlik riskiyle ilişkilendiriliyor, BSI’nın CVSS değeri ekleniyor 9.1 (kritik).


Aradaki farkı kapatacak güncellemeler VPN Plus sunucuları Synology şimdiye kadar sağlanan Synology Yönlendirici Yöneticisi (SRM)-Firmware 1.3 hazır. sürüm 1.4.6-0685 veya daha yenisi sızıntıyı kapatır. Halen SRM 1.2 kullanan kullanıcılara daha sonra sağlanacaktır. Synology’nin güvenlik raporuna göre güncelleme hala devam ediyor. Yöneticiler mevcut yamayı hızlı bir şekilde uygulamalıdır.

BSI, risk değerlendirmesinde temkinli olmayı tercih ediyor. Yaklaşık bir ay önce, başlangıçta NTP sunucusunda CVSS değeri 9.8 olan sözde kritik bir güvenlik açığı konusunda uyarıda bulundu. Daha sonra, daha ayrıntılı bir analizin ardından BSI, güvenlik açığı derecesini CVSS 4.0’a (orta) düşürdü. Synology, geçen Yılbaşı Gecesi’nde VPN Plus Sunucusunda kritik bir güvenlik açığı konusunda uyarıda bulundu. Şirket, uyarıdan beş gün sonra ayrıntıları ve CVE girişini yayınladı.


(dmk)



Haberin Sonu