🔴 French Days en direct 🔴 French Days en direct

Synology corrige une faille de gravité maximale, mettez-vous vite à jour !

Mallory Delicourt
04 janvier 2023 à 15h30
10
© Synology
© Synology

Une énorme faille de sécurité a été détectée et corrigée par les équipes de Synology, le fabricant de NAS (Network Attached Storage) situé à Taïwan. Il est vivement recommandé de mettre les utilitaires et le matériel à jour.

La faille, classée en gravité maximale, aurait pu être exploitée sans nécessiter de privilèges administrateur et occasionner de gros dégâts.

Une faille de gravité maximale découverte

Fondée par deux anciens salariés de Microsoft en 2000, Synology est une entreprise qui fournit des solutions NAS, des appareils de stockage autonomes qui peuvent être connectés à un réseau professionnel ou privé via Internet. Ces appareils et les logiciels qui y sont associés sont donc utilisés pour stocker de grosses quantités de données et éviter leur perte grâce à un Cloud privé. Autant dire qu'il s'agit de cibles toutes désignées pour les pirates qui, en s'infiltrant, pourraient récupérer des fichiers sensibles, confidentiels ou totalement personnels.

Le 2 janvier dernier, Synology a indiqué qu'une vulnérabilité notée 10/10 pour sa dangerosité avait été détectée dans le logiciel VPN Plus Server. Elle permettait à des pirates d'attaquer à distance et d'exécuter des commandes arbitraires via des vecteurs non spécifiés. Autrement dit, elle pouvait très facilement être exploitée sans demander de grandes compétences. Le problème a évidemment été mis en haut de la liste des priorités.

Déjà de l'histoire ancienne ?

Ce genre de vulnérabilité peut conduire à une intrusion, à la corruption des données, occasionner des pannes du système et empêcher le code de s'exécuter correctement. Il fallait donc intervenir rapidement, ce qui a été fait. Depuis peu, des correctifs ont été mis en ligne, et il est très fortement recommandé aux clients de mettre à jour VPN Plus Server vers la version de SRM (Synology Router Manager) la plus récente. Les versions 1.3 et 1.2 des serveurs VPN sont concernées par les mises à jour 1.4.4-0635 (1.3) et 1.4.3-0534 (1.2).

Le 22 décembre dernier, Synology a corrigé une autre faille critique de sécurité dans Synology Router Manager. Elle permettait notamment d'exécuter à distance des commandes arbitraires, de lancer des attaques par déni de service (DDoS) ou de lire des fichiers stockés. Désormais, il semble que ces failles critiques, aussi bien du côté de VPN Plus Server que de Synology Router Manager, fassent partie du passé. Bien évidemment, Synology va continuer de surveiller ses services et ses produits, car la sécurité absolue n'existe pas.

Source : BleepingComputer

Mallory Delicourt

Mallory Delicourt

Historien finalement tombé dans le jeu vidéo, je me passionne pour ces deux domaines ainsi que pour l'espace, les sciences en général, la technologie et le sport. Streameur en pointillé, j'ai tellemen...

Lire d'autres articles

Historien finalement tombé dans le jeu vidéo, je me passionne pour ces deux domaines ainsi que pour l'espace, les sciences en général, la technologie et le sport. Streameur en pointillé, j'ai tellement de jeux à faire que j'ai dû créer un tableur. Rédacteur newseur depuis 6 ans, j'aime faire vivre l'actualité aux lecteurs.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (10)

Pernel
À vos MAJ, prêt, partez !
samyfox
Une CVE pour avoir un peu de détail SVP ? Je ne vois pas de MAJ à installer sur SRM de mon coté.
merotic
Je ne trouve pas VPN Plus Server ni SRM (Synology Router Manager) sur mon NAS.<br /> Ne serait-ce pas un paquet optionnel, dans ce cas qui concerne peu de gens?
Sparrow747
Cela concerne les routeurs Synology
Sparrow747
Si tu es en 1.3.1-9346 Update 3 c’est ok.<br /> J’ai eu la mise a jour il y a 2-3 jours sur mon MR2200AC.
mrpatrick
L’article ne précise qu’à l’avant dernier paragraphe que cela concerne les routeurs, et non pas les NAS comme le titre laissait flipper…
philouze
Merci à cluclu pour ce genre de tri dans les alertes ! MAJ effectuée…
ematum
Que je comprenne, ça concerne donc les routeurs Synology et non les NAS, c’est ça ?<br /> Donc mon bon vieux DS213j n’est pas concerné.
Laurent_Marandet
Chez Synology, le soft est quand même basé sur un noyau Linux…<br /> Leur logiciel DSM est nettement que chez leur concurrents, y compris pour la sécurité, mais c’est surtout pour le hardware qu’ils se foutent de la gueule du monde: les ports RJ45 10 Gb absents sur la plupart des modèles alors qu’ils mettent en avant la présence des caches SSD NVMe.<br /> Les cartes-mères (d’origine SuperMicro) des modèles rack sont bien loin de se comparer à du DELL, mais leur logiciel est commode à utiliser en petite entreprise et évite le racket des licences Windows pour serveurs. Par contre, depuis un an ou deux, Synology prétend imposer ses propres disques durs au dessus de 4 To, alors que ce ne sont que des Hitachi rebadgés et vendus trois fois plus cher.<br /> Il faut donc hacker le serveur pour mettre des Seagate Exos, par exemple.<br /> Autre chose à éviter, ce sont tous les petits add-on logiciels propriétaires Synology comme justement le serveur VPN, le serveur de calendriers, le serveur de mails, il peut y avoir des changements radicaux sans préavis, avec des applications qui disparaissent ou le PHP qui, après être resté scotché sur une version 5 antique pendant des années, est mis à jour brusquement et fait planter d’autres applis. La virtualisation est laborieuse aussi, compte-tenu du hardware, il faut juste se contenter de quelques DSM virtuels bien commodes pour les modèles rack (si l’on a plusieurs sociétés qui partagent des locaux) mais ne pas virtualiser du Windows.
samyfox
Pour les 1900AC pas upgradable sur la 1.3 de SRM mais pas encore en EOL, le support est maintenant partiel, c’est pas toujours clair pour ce bug. D’où ma question. J’ai pas vu passer de correctif sur la 1.2. Mais surtout est-ce que la faille ne concerne que le VPN Server ou le système en lui même. Le N° de CVE aurait pu m’éclairer à ce sujet.
Voir tous les messages sur le forum
Les tendances

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Microsoft corrige 74 vulnérabilités, dont 7 critiques, affectant toutes les versions de Windows Microsoft corrige 74 vulnérabilités, dont 7 critiques, affectant toutes les versions de Windows
Android : mettez absolument à jour votre smartphone pour corriger cette faille critique Android : mettez absolument à jour votre smartphone pour corriger cette faille critique
Faille 0-day Follina : Microsoft déploie un patch à installer en urgence Faille 0-day Follina : Microsoft déploie un patch à installer en urgence
Safari : cette faille vieille de 5 ans permettait à des hackers d'infecter vos appareils Apple Safari : cette faille vieille de 5 ans permettait à des hackers d'infecter vos appareils Apple
Vulnérabilité PrintNightmare : Microsoft déploie un correctif sur Windows 10, 8 et 7 Vulnérabilité PrintNightmare : Microsoft déploie un correctif sur Windows 10, 8 et 7