Synology phát hành bản vá cho lỗ hổng nghiêm trọng CVE-2022-43931
Cụ thể, lỗ hổng nghiêm trọng có định danh CVE-2022-43931, có điểm CVSS là 10/10. Khai thác thành công, tin tặc có thể thực thi mã tùy ý từ xa thông qua các vectơ không xác định.
Người dùng VPN Plus Server trên Synology Router Manager (SRM) 1.2 và SRM 1.3 nên cập nhật lên phiên bản 1.4.3-0534 và 1.4.4-0635 tương ứng.
Synology cũng cảnh báo về một số lỗ hổng trong SRM có thể cho phép tin tặc từ xa thực thi mã tùy ý, tiến hành tấn công từ chối dịch vụ hoặc đọc các tệp tùy ý.
Chi tiết chính xác về các lỗ hổng hiện chưa được tiết lộ, người dùng được khuyến cáo nâng cấp lên các phiên bản 1.2.5-8227-6 và 1.3.1-9346-3 để giảm thiểu các nguy cơ bị tấn công.
Đáng chú ý, một số lỗ hổng bảo mật đã được khai thác tại cuộc thi Pwn2Own 2022 tổ chức tại Toronto (Canada).
M.H