Les appareils NAS, les applications Synology et le nouveau produit BeeStation sont tous exposés à des bogues dangereux récemment découverts. Il faut donc appliquer rapidement les correctifs, même si cela nécessite parfois une intervention manuelle.
Synology envoie un e-mail inhabituel pour avertir les utilisateurs d’une série de bogues critiques. Lors de l’événement Pwn2Own Ireland 2024, organisé fin octobre, des chercheurs en sécurité ont découvert une série de vulnérabilités que les pirates peuvent exploiter à grande échelle.
Code malveillant et rançongiciels
Dans l’e-mail, Synology indique qu’il n’y a pas encore d’abus actif des bogues, mais conseille néanmoins aux utilisateurs d’installer les correctifs immédiatement, compte tenu de la gravité du risque.
Après tout, les bogues ne sont pas sans conséquence. Ils permettent aux attaquants d’accéder à distance aux fichiers ou d’exécuter leur propre code, de prendre le contrôle d’un NAS ou de le détourner à l’aide d’un ransomware. La dangereuse possibilité d’exécuter un code malveillant est le fil conducteur de toutes les vulnérabilités.
DSM 7
Les bogues les plus critiques affectent les systèmes d’exploitation des appareils NAS de Synology et des produits BeeStation destinés au grand public. Toutes les versions récentes du système d’exploitation sont vulnérables. Il s’agit des versions suivantes
- DSM 7.2.2
- DSM 7.2.1
- DSM 7.1
- DSMUC 3.1
- BeeStation OS 1.0
- BeeStation OS 1.1
Synology partage ici l’état de la situation pour DSM et DSMUC, et ici pour BeeStation.
Les applications aussi
Des experts en sécurité ont en outre découvert des fuites dans certaines applications Synology, que les pirates peuvent également exploiter. Les applications suivantes doivent absolument être mises à jour :
- Drive Server (pour DSM 7.1, DSM 7.2.1 et DSM 7.2.2)
- Photos (pour DSM 7.1, version 1.6 pour DSM 7.2 .1 et version 1.7 pour DSM 7.2.2)
- Replication Service (DSM 7.1, DSM 7.2, DSMUC 3.1)
- BeePhotos (pour OS 1.0 et OS 1.1)
HVEC ou bogue ?
Bien que le problème soit grave, Synology n’a pas encore de correctifs pour toutes les versions du logiciel concerné. Par exemple, il n’existe actuellement aucun correctif pour la version 7.2.2 de DSM. Si vous mettez à jour vers la version 7.2.2 – Mise à jour 1, vous êtes à l’abri. Il n’y a pas de correctif pour DSM 7.2.1, DSM 7.1 et DSMUC 3.1 pour le moment.
Il est possible de mettre à jour les versions DSM vers 7.2.2 – Mise à jour 1, mais à partir de la version 7.2.2, Synology ne prend plus en charge le codec HVEC, et la station vidéo ne fonctionne plus. Si vous dépendez de cette fonctionnalité et que vous n’avez pas encore de solution, la mise à niveau vers la version 7.2.2 n’est pas une bonne solution.
Processus manuel
De plus, Synology ne rend pas automatiquement disponibles les mises à jour nécessaires pour tous les appareils. Nous avons pu sécuriser notre NAS de test DS1522+ en appuyant sur un bouton, mais notre NAS de test DS 923+ indiquait qu’il était complètement à jour, même s’il fonctionnait encore avec la version (vulnérable) DSM 7.1.
Dans ce cas, les administrateurs peuvent mettre à jour le système d’exploitation manuellement via le Centre de téléchargement Synology. Parfois, cette procédure se déroule en plusieurs étapes, avec des mises à niveau vers une version intermédiaire avant que la mise à jour finale vers le système d’exploitation sécurisé ne soit possible.
Synology semble donner la priorité aux mises à jour des applications vulnérables sur les versions les plus récentes de ses systèmes d’exploitation. Les personnes ayant effectué une mise à jour vers DSM 7.2.2 doivent encore vérifier dans le Centre de paquets que toutes les applications sont à jour.
Cible populaire
Les NAS sont les cibles préférées des pirates. Les attaques de rançongiciels sur les petits serveurs peuvent ruiner les PME. Même les consommateurs qui, par exemple, gèrent toute leur photothèque sur un NAS se laissent facilement convaincre de payer une rançon. Maintenant que les bogues sont connus du public, des abus publics ne sont plus qu’une question de temps. Vous gérez un NAS Synology ? Alors, prenez vite les rênes en main.