اكتشاف ثغرة خطيرة في تطبيق الصور من Synology

إذا كنت تمتلك محرك أقراص NAS من Synology، فستحتاج إلى تحديث جهازك في أقرب وقت ممكن. وكما ذكر Wired لأول مرة، حددت مجموعة من الباحثين الأمنيين الهولنديين مؤخرًا ثغرة أمنية في تطبيق الصور Synology. بالنسبة للمبتدئين، تسمح هذه الأخطاء للمتسللين باختراق النظام دون الحاجة إلى النقر على شيء أولاً. ولجعل الأمور أسوأ، يأتي التطبيق مثبتًا مسبقًا وممكّنًا افتراضيًا على خط المستهلك من أجهزة تخزين الشبكة Bee من Synology. إنه أيضًا تنزيل شائع بين أولئك الذين يستخدمون أنظمة DiskStation الخاصة بالشركة.

تقدر Midnight Blue، شركة الأمن السيبراني التي اكتشفت الثغرة الأمنية، أن ملايين مستخدمي Synology قد يكونون معرضين للخطر. على الرغم من أن الشركة أصدرت تصحيحًا أمنيًا لمعالجة الخلل، إلا أن أجهزة NAS الخاصة بها لا تقوم بتنزيل التحديثات تلقائيًا. قال كارلو ماير، أحد الباحثين، لـ Wired: "ليس من السهل العثور على [الثغرة الأمنية] بنفسك، بشكل مستقل". "ولكن من السهل جدًا معرفة وربط النقاط عندما يتم إصدار التصحيح بالفعل، وتقوم بهندسة التصحيح عكسيًا".

وفقًا لشركة Midnight Blue، تم العثور على النقرة الصفرية في جزء من تطبيق Synology Photos الذي لا يتطلب المصادقة. ونتيجة لذلك، يمكن للمهاجمين استغلال الخلل مباشرة عبر الإنترنت ودون الحاجة إلى تجاوز بوابة أولاً. يمكنهم بعد ذلك الحصول على حق الوصول إلى الجذر وتثبيت التعليمات البرمجية الضارة على الجهاز المخترق. في هذه المرحلة، لا يوجد الكثير مما لا يستطيع الفرد الخبيث فعله، حيث أشارت الشركة إلى أنه من الممكن حتى تحويل الجهاز المصاب إلى شبكة روبوتات. إن احتمالية استهداف عصابة برامج الفدية لأجهزة Synology ليست مجرد نظرية أيضًا. في وقت سابق من هذا العام، أبلغ مستخدمو DiskStation أنهم كانوا هدفًا لهجوم برامج الفدية.