🔴 Soldes dernière démarque : jusqu'à - 80% ! 🔴 Soldes dernière démarque : jusqu'à - 80% sur le high-tech

Synology corrige une faille de gravité maximale, mettez-vous vite à jour !

04 janvier 2023 à 15h30
10
synology
© Synology

Une énorme faille de sécurité a été détectée et corrigée par les équipes de Synology, le fabricant de NAS (Network Attached Storage) situé à Taïwan. Il est vivement recommandé de mettre les utilitaires et le matériel à jour.

La faille, classée en gravité maximale, aurait pu être exploitée sans nécessiter de privilèges administrateur et occasionner de gros dégâts.

Une faille de gravité maximale découverte

Fondée par deux anciens salariés de Microsoft en 2000, Synology est une entreprise qui fournit des solutions NAS, des appareils de stockage autonomes qui peuvent être connectés à un réseau professionnel ou privé via Internet. Ces appareils et les logiciels qui y sont associés sont donc utilisés pour stocker de grosses quantités de données et éviter leur perte grâce à un Cloud privé. Autant dire qu'il s'agit de cibles toutes désignées pour les pirates qui, en s'infiltrant, pourraient récupérer des fichiers sensibles, confidentiels ou totalement personnels.

Le 2 janvier dernier, Synology a indiqué qu'une vulnérabilité notée 10/10 pour sa dangerosité avait été détectée dans le logiciel VPN Plus Server. Elle permettait à des pirates d'attaquer à distance et d'exécuter des commandes arbitraires via des vecteurs non spécifiés. Autrement dit, elle pouvait très facilement être exploitée sans demander de grandes compétences. Le problème a évidemment été mis en haut de la liste des priorités.

Déjà de l'histoire ancienne ?

Ce genre de vulnérabilité peut conduire à une intrusion, à la corruption des données, occasionner des pannes du système et empêcher le code de s'exécuter correctement. Il fallait donc intervenir rapidement, ce qui a été fait. Depuis peu, des correctifs ont été mis en ligne, et il est très fortement recommandé aux clients de mettre à jour VPN Plus Server vers la version de SRM (Synology Router Manager) la plus récente. Les versions 1.3 et 1.2 des serveurs VPN sont concernées par les mises à jour 1.4.4-0635 (1.3) et 1.4.3-0534 (1.2).

Le 22 décembre dernier, Synology a corrigé une autre faille critique de sécurité dans Synology Router Manager. Elle permettait notamment d'exécuter à distance des commandes arbitraires, de lancer des attaques par déni de service (DDoS) ou de lire des fichiers stockés. Désormais, il semble que ces failles critiques, aussi bien du côté de VPN Plus Server que de Synology Router Manager, fassent partie du passé. Bien évidemment, Synology va continuer de surveiller ses services et ses produits, car la sécurité absolue n'existe pas.

Source : BleepingComputer

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
10
Pernel
À vos MAJ, prêt, partez !
samyfox
Une CVE pour avoir un peu de détail SVP ? Je ne vois pas de MAJ à installer sur SRM de mon coté.
merotic
Je ne trouve pas VPN Plus Server ni SRM (Synology Router Manager) sur mon NAS.<br /> Ne serait-ce pas un paquet optionnel, dans ce cas qui concerne peu de gens?
Sparrow747
Cela concerne les routeurs Synology
Sparrow747
Si tu es en 1.3.1-9346 Update 3 c’est ok.<br /> J’ai eu la mise a jour il y a 2-3 jours sur mon MR2200AC.
mrpatrick
L’article ne précise qu’à l’avant dernier paragraphe que cela concerne les routeurs, et non pas les NAS comme le titre laissait flipper…
philouze
Merci à cluclu pour ce genre de tri dans les alertes ! MAJ effectuée…
Oli1
« Fondée par deux anciens salariés de Microsoft »<br /> OK, tout est dit !<br /> Plus sérieusement, cela fera peut-être réfléchir ceux qui sauvegardent tout sur leur NAS en répétant que c’est plus sûr que le cloud.<br /> Aucune solution de sauvegarde n’est à l’abri de problèmes. Mais le cloud (chiffré bien sûr) me paraît plus sûr.
ematum
Que je comprenne, ça concerne donc les routeurs Synology et non les NAS, c’est ça ?<br /> Donc mon bon vieux DS213j n’est pas concerné.
Laurent_Marandet
Chez Synology, le soft est quand même basé sur un noyau Linux…<br /> Leur logiciel DSM est nettement que chez leur concurrents, y compris pour la sécurité, mais c’est surtout pour le hardware qu’ils se foutent de la gueule du monde: les ports RJ45 10 Gb absents sur la plupart des modèles alors qu’ils mettent en avant la présence des caches SSD NVMe.<br /> Les cartes-mères (d’origine SuperMicro) des modèles rack sont bien loin de se comparer à du DELL, mais leur logiciel est commode à utiliser en petite entreprise et évite le racket des licences Windows pour serveurs. Par contre, depuis un an ou deux, Synology prétend imposer ses propres disques durs au dessus de 4 To, alors que ce ne sont que des Hitachi rebadgés et vendus trois fois plus cher.<br /> Il faut donc hacker le serveur pour mettre des Seagate Exos, par exemple.<br /> Autre chose à éviter, ce sont tous les petits add-on logiciels propriétaires Synology comme justement le serveur VPN, le serveur de calendriers, le serveur de mails, il peut y avoir des changements radicaux sans préavis, avec des applications qui disparaissent ou le PHP qui, après être resté scotché sur une version 5 antique pendant des années, est mis à jour brusquement et fait planter d’autres applis. La virtualisation est laborieuse aussi, compte-tenu du hardware, il faut juste se contenter de quelques DSM virtuels bien commodes pour les modèles rack (si l’on a plusieurs sociétés qui partagent des locaux) mais ne pas virtualiser du Windows.
samyfox
Pour les 1900AC pas upgradable sur la 1.3 de SRM mais pas encore en EOL, le support est maintenant partiel, c’est pas toujours clair pour ce bug. D’où ma question. J’ai pas vu passer de correctif sur la 1.2. Mais surtout est-ce que la faille ne concerne que le VPN Server ou le système en lui même. Le N° de CVE aurait pu m’éclairer à ce sujet.
Voir tous les messages sur le forum

Derniers actualités

Samsung publie (enfin) un correctif pour ses SSD 980 PRO
Discord perturbe la fréquence mémoire des GeForce : corrigeons le problème
Ear (2) : les futurs intras de Nothing fuitent en photo, petits ou grands changements ?
AMD annonce le prix et les dates de disponibilité de ses Ryzen 7000X3D
Unpacked 2023 : Samsung dévoile ses nouveaux Galaxy Book3, prêts pour un face-à-face avec Apple ?
Samsung Unpacked 2023 : meilleurs... et plus chers, découvrez les nouveaux Galaxy S23
Artifact, cette appli propulsée par l'IA à mi-chemin entre TikTok et Google News
Comment ChatGPT a changé les plans de Google
Mars : Perseverance a complété sa réserve de secours d'échantillons
Partage de compte sur Netflix : ça ne va pas être simple (mais on vous explique)
Haut de page