VPN Plus Server là một dịch vụ Synology Router ( máy chủ VPN (mạng riêng ảo) nâng cao). Gói này cho phép người dùng truy cập tài nguyên Internet và những tài nguyên trong mạng cục bộ thông qua ứng dụng client VPN hoặc trình duyệt web.
Mới đây, Synology đã khắc phục lỗ hổng nghiêm trọng trong phần mềm VPN Plus Server của Synology. CVE 2022-43931 cho phép hacker thực thi lệnh tùy ý trên thiết bị cài đặt các phiên bản trước 1.4.3-0534 và 1.4.4-0635 thông qua việc lợi dụng lỗi bộ nhớ.
Theo thông tin từ Synology, lỗ hổng được phát hiện nội bộ bởi PSIRT và được đánh giá 10 điểm theo thang CVSS v3, công bố lần đầu tiên vào ngày 30/12/2022. Lỗ hổng đã được khắc phục thông qua việc phát hành bản vá, khách hàng nên cập nhật phiên bản mới nhất ngay khi có thể.
Lỗ hổng có thể bị khai thác mà không cần có đặc quyền hoặc quyền truy cập ban đầu vào thiết bị. Chi tiết vector khai thác hiện chưa được công bố.
Công ty cũng đã cảnh báo về một số lỗ hổng có thể cho phép hacker thực thi mã tùy ý, tấn công từ chối dịch vụ hoặc đọc dữ liệu nhạy cảm.
Gaurav Baruah, Lukas Kupczyk của CrowdStrike, nhà nghiên cứu Orange Tsai của DEVCORE và công ty bảo mật CNTT có trụ sở tại Hà Lan, Computest đã được ghi nhận báo cáo các điểm yếu.
Điều đáng chú ý là một số lỗ hổng bảo mật đã được chứng minh tại cuộc thi Pwn2Own 2022 được tổ chức từ ngày 6 đến ngày 9 tháng 12 năm 2022 tại Toronto.
Baruah kiếm được 20.000 đô la cho một cuộc tấn công injection vào giao diện WAN của Synology RT6600ax, trong khi Computest kiếm được 5.000 đô la cho một cuộc khai thác root shell injection nhắm vào giao diện LAN của thiết bị.
Thông tin chi tiết TẠI ĐÂY