Synology est en train de déployer un correctif pour VPN Plus Server, un logiciel qui transforme un routeur en serveur VPN. La vulnérabilité est considérée comme la plus sévère.
Synology a détecté la vulnérabilité dans le serveur VPN Plus en interne, et a développé un patch pour fermer la fuite dès que possible. Hautement nécessaire selon le spécialiste taïwanais des solutions de stockage. En effet, CVE-2022-43931 a reçu un score CVSS3, qui évalue la gravité d’une vulnérabilité, de dix sur une échelle de dix.
Out-of-bounds
VPN Plus Server est un logiciel pour transformer les routeurs en serveurs VPN. Mais une vulnérabilité « out of bounds » (hors limites) dans la fonctionnalité de bureau à distance du programme permet aux attaquants d’exécuter un code malveillant par le biais du logiciel, sans nécessiter d’accès spécial. La vulnérabilité semble facile à exploiter et peut entraîner une perte de données, une corruption de la mémoire et une plantage du système pour la victime.
Synology a déployé un correctif le 30 décembre qui devrait fermer la fuite. Il est donc conseillé de mettre à jour le serveur VPN Plus à la version 1.4.3-0534 ou 1.4.4-0635 dès que possible.
Synology Router Manager
Juste avant Noël, Synology a déjà découvert certaines vulnérabilités dans le logiciel SRM avec l’aide de spécialistes externes. Cela permettait aux personnes malintentionnées de lancer des attaques par « denial-of-service » (déni de service), entre autres. Un correctif a depuis été déployé pour ces vulnérabilités également.