Synology rolt een patch uit voor VPN Plus Server, een software waarmee je een router omvormt tot VPN-server. De kwetsbaarheid krijgt de hoogste ernst.
Synology kwam de kwetsbaarheid in VPN Plus Server intern op het spoor, en ontwikkelde zo snel mogelijk een patch om het lek te dichten. Hoognodig volgens de Taiwanese specialist in storageoplossingen. CVE-2022-43931 kreeg namelijk een CVSS3 score, die de ernst van een kwetsbaarheid quoteert, van tien op een schaal van tien.
Out-of-bounds
VPN Plus Server is een software om routers om te bouwen tot VPN-servers. Maar door een out-of-bounds-kwetsbaarheid in de remote desktop-functionaliteit van het programma kunnen aanvallers via de software schadelijke code uitvoeren, zonder dat ze daar speciale toegang voor nodig hebben. De kwetsbaarheid blijkt niet moeilijk uit te buiten te zijn, en kan voor het slachtoffer resulteren in dataverlies, geheugencorruptie en het crashen van systemen.
Synology rolde op 30 december een patch uit die het lek moet dichten. Het advies luidt dan ook om VPN Plus Server zo snel mogelijk te updaten naar versie 1.4.3-0534 of 1.4.4-0635.
Synology Router Manager
Vlak voor de kerstdagen ontdekte Synology al met de hulp van externe specialisten al enkele kwetsbaarheden in de SRM-software. Daarmee konden kwaadwilligen onder meer denial-of-service-aanvallen in gang zetten. Ook voor deze kwetsbaarheden is inmiddels een patch uitgerold.