Synology corrige une grave vulnérabilité dans les routeurs VPN

Synology

Synology est en train de déployer un correctif pour VPN Plus Server, un logiciel qui transforme un routeur en serveur VPN. La vulnérabilité est considérée comme la plus sévère.

Synology a détecté la vulnérabilité dans le serveur VPN Plus en interne, et a développé un patch pour fermer la fuite dès que possible. Hautement nécessaire selon le spécialiste taïwanais des solutions de stockage. En effet, CVE-2022-43931 a reçu un score CVSS3, qui évalue la gravité d’une vulnérabilité, de dix sur une échelle de dix.

Out-of-bounds

VPN Plus Server est un logiciel pour transformer les routeurs en serveurs VPN. Mais une vulnérabilité « out of bounds » (hors limites) dans la fonctionnalité de bureau à distance du programme permet aux attaquants d’exécuter un code malveillant par le biais du logiciel, sans nécessiter d’accès spécial. La vulnérabilité semble facile à exploiter et peut entraîner une perte de données, une corruption de la mémoire et une plantage du système pour la victime.

Synology a déployé un correctif le 30 décembre qui devrait fermer la fuite. Il est donc conseillé de mettre à jour le serveur VPN Plus à la version 1.4.3-0534 ou 1.4.4-0635 dès que possible.

Synology Router Manager

Juste avant Noël, Synology a déjà découvert certaines vulnérabilités dans le logiciel SRM avec l’aide de spécialistes externes. Cela permettait aux personnes malintentionnées de lancer des attaques par « denial-of-service » (déni de service), entre autres. Un correctif a depuis été déployé pour ces vulnérabilités également.

newsletter

Abonnez-vous gratuitement à ITdaily !

Category(Required)
This field is for validation purposes and should be left unchanged.