Synology يقوم بتبديل العيوب الأمنية الخطيرة في أجهزة التخزين المرفقة بالشبكة

2024

Ù…Ù† Ø²ÙŠÙ†Ùˆ Ù†Ù‡Ø§Ø± Ø§Ù„ÙŠÙˆÙ… ØµØ Ø¹ÙŠØ¯ÙƒÙ… Ø§Ù†Ø´Ø± Ø§Ù„ÙÙŠØ¯ÙŠÙˆ ØØªÙ‰ ÙŠØ±Ø§Ù‡ ÙƒÙ„ Ø§Ù„Ø

الشركة المصنعة للتخزين المرفقة بالشبكة (NAS) قامت Synology بإصلاح العديد من نقاط الضعف في برامج أجهزتها ، واحدة منها يمكن أن تسمح للمهاجمين بخرق البيانات المخزنة عليهم.

يقع أخطر نقطة ضعف في محطة Photo Synology ، ميزة من DiskStation Manager (DSM) ، نظام التشغيل Linux الذي يعمل على أجهزة NAS الخاصة بالشركة.

يتيح Synology Photo Station للمستخدمين إنشاء ألبومات صور عبر الإنترنت ومدونات يمكن الوصول إليها عن بُعد باستخدام عنوان IP العام لجهاز NAS ( عنوان بروتوكول الإنترنت.

[المزيد من القراءة: أفضل صناديق NAS لتدفق الوسائط والنسخ الاحتياطي]

وجد باحثون من شركة Securify الهولندية أن Photo Station لم تعقم بشكل صحيح إدخال المستخدم ، allowin g المهاجمين المحتملين لحقن أوامر النظام التي سيتم تنفيذها مع امتيازات خادم الويب.

بالإضافة إلى ذلك ، لا يوجد لدى Photo Station حماية ضد التزوير عبر الموقع (CSRF) ، وهي تقنية تسمح لموقع ويب بفرض متصفح الزائر لتنفيذ الإجراءات الخبيثة على موقع مختلف.

لذا حتى إذا لم تتم تهيئة "محطة الصور" بحيث يمكن الوصول إليها من الإنترنت ، يمكن للمهاجم خداع مستخدم موجود على نفس الشبكة مثل جهاز NAS لزيارة موقع ويب مصمم خصيصًا الصفحة التي من شأنها أن تستخدم CSRF لاستغلال أمر حقن الضعف عبر الشبكة المحلية.

من خلال الاستفادة من هذا المهاجمين يمكن أن يضر المهاجمين جهاز NAS ، بما في ذلك جميع البيانات المخزنة عليه ، كما قال الباحثون في تقرير استشاري يتضمن أيضا دليلا على مفهوم

تم إصلاح Synology هذه الثغرة الأسبوع الماضي في الإصدار 6.3-2945 من Photo Station. ومع ذلك ، تشير ملاحظات الإصدار فقط إلى "تحسينات الأمان" دون تفاصيل إضافية.

كما تناولت النسخة الجديدة نقطتين من نقاط الضعف في البرامج النصية عبر المواقع (XSS) التي حددها الباحثون في Securify.

يمكن استغلال هذه الثغرات من قبل خداع مستخدمي محطة الصور إلى فتح عنوان URL تم تصميمه خصيصًا لتنفيذ شفرة مريبة في المتصفحات. قد تسمح الهجمات الناجحة للمهاجمين بسرقة الرموز المميزة للجلسة أو تسجيل بيانات اعتماد المستخدمين المستهدفين من محطة Photo أو لتنفيذ إجراءات تعسفية نيابة عنهم.

تم تصحيح ثغرة مماثلة أيضًا بواسطة Synology الأسبوع الماضي في واجهة إدارة DiskStation Manager. ننصح المستخدمين بالترقية إلى الإصدار 5.2-5565 من DSM. 1.

تم استهداف أجهزة Synology NAS من قبل المتسللين في الماضي. في العام الماضي ، استغل المهاجمون ثغرة لإصابة العديد من هذه الأجهزة باستخدام برنامج تشفير الملفات الذي تم تشفيره ، كما قام المخترقون السابقون بتهديد أجهزة Synology لتشغيل برامج التعدين cryptocurrency عليهم.