Een kritieke “zero-click” kwetsbaarheid in Synology NAS-software werd onlangs ontdekt door Rick de Jager, een Nederlandse beveiligingsonderzoeker van Midnight Blue. Dit gebeurde tijdens de Pwn2Own hackingwedstrijd in Ierland. De kwetsbaarheid zit in de voorgeïnstalleerde Photos-app van Synology en de BeePhotos-software voor BeeStation. Een “zero-click”-kwetsbaarheid betekent dat een aanval kan plaatsvinden zonder enige actie van de gebruiker en zonder authenticatie. Dit stelt aanvallers in staat om op afstand toegang te krijgen en volledige controle over het apparaat te krijgen. Ze kunnen zelfs code installeren en uitvoeren.
Miljoenen kwetsbare apparaten
Na de ontdekking informeerde Midnight Blue Synology meteen. Binnen 48 uur bracht Synology een patch uit om het probleem op te lossen. Midnight Blue benadrukte dat het belangrijk is dat gebruikers hun apparaten snel bijwerken, omdat miljoenen apparaten kwetsbaar zijn. Synology-apparaten updaten echter niet automatisch, waardoor handmatig updaten noodzakelijk is.
NAS-systemen zijn een populair doelwit voor aanvallen door de grote hoeveelheid persoonlijke data die ze bevatten. Daarom is het erg belangrijk om updates snel te installeren.