Vulnerabilidades críticas en productos de Synology

Synology ha presentado parches para varias vulnerabilidades críticas en sus productos VPN Plus Server y Synology Router Manager (SRM), incluyendo fallos de seguridad que podrían haber sido explotados en el concurso de hacking Pwn2Own 2022.

La empresa taiwanesa Synology ha publicado dos boletines de seguridad de carácter crítico, que resuelven vulnerabilidades en sus productos.

Uno de los boletines describe una vulnerabilidad que afecta a Synology VPN Plus Server y que ha sido descubierta internamente por la propia empresa (Synology PSIRT). Se trata de un problema de escritura fuera de limites en la funcionalidad escritorio remoto de VPN Plus Server que permitiría a un atacante remoto ejecutar comandos arbitrarios. Se ha asignado el identificador CVE-2022-43931 a este fallo de seguridad cuya puntuación CVSS3 es la máxima posible: 10 puntos sobre 10.

El segundo boletín de seguridad trata múltiples vulnerabilidades que afectan a las versiones 1.2 y 1.3 de Synology Router Manager (SRM), el sistema operativo de los routers de la compañía. La explotación exitosa de estos fallos podría permitir la ejecución de comandos arbitrarios, la realización de ataques de denegación de servicio (DoS), y la lectura de archivos arbitrarios.

En este último boletín no se han revelado los detalles de las vulnerabilidades. Sin embargo, es muy probable que estos fallos fuesen mostrados en el concurso de hacking Pwn2Own 2022 celebrado en Toronto entre los días 6 y 9 de diciembre, en el que se explotaron dispositivos de Synology.

Se recomienda aplicar los parches de seguridad liberados por Synology, que se encuentran disponibles para su descarga desde el sitio oficial.

Más información:
Synology-SA-22:26 VPN Plus Server
https://www.synology.com/en-us/security/advisory/Synology_SA_22_26

Synology-SA-22:25 SRM
https://www.synology.com/en-us/security/advisory/Synology_SA_22_25

La entrada Vulnerabilidades críticas en productos de Synology se publicó primero en Una al Día.