Synology, acteur majeur dans le domaine des solutions de stockage en réseau, vient de publier une mise à jour pour son système d’exploitation DSM (DiskStation Manager), nommée DSM 7.2.2 Update 1.
Cette mise à jour vise principalement à combler quatre vulnérabilités de sécurité critiques dévoilées lors de la compétition de hacking Pwn2Own 2024, organisée en Irlande du 22 au 25 octobre 2024.
La compétition Pwn2Own est bien connue dans le domaine de la cybersécurité pour identifier et exposer les failles de sécurité des logiciels et appareils populaires. Lors de cet événement, les chercheurs en sécurité tentent de démontrer les vulnérabilités de divers systèmes en vue de sensibiliser les entreprises concernées et de promouvoir des améliorations de sécurité. Cette année, Synology a été l’un des participants, et l’équipe de sécurité de la société a pris en compte les résultats de la compétition pour développer rapidement des correctifs.
Les quatre vulnérabilités corrigées
Les vulnérabilités identifiées par les chercheurs lors de Pwn2Own 2024 sont particulièrement préoccupantes, car elles exposaient DSM à divers types d’attaques.
Voici un aperçu des failles corrigées par la mise à jour :
- ZDI-CAN-25403 : Cette vulnérabilité permet à des attaquants distants d’exécuter un code arbitraire sur les appareils Synology, une situation particulièrement dangereuse parce qu’elle offre un accès direct au système, facilitant ainsi la prise de contrôle de l’appareil.
- ZDI-CAN-25487 : Celle-ci est une attaque de type man-in-the-middle (MITM) qui permet à un attaquant d’obtenir des sessions d’administration de l’appareil. En interceptant les données de connexion, l’attaquant peut ainsi manipuler ou prendre le contrôle de l’appareil.
- ZDI-CAN-25613 : Cette faille permet à des attaquants distants de lire certains fichiers spécifiques sur l’appareil Synology, menaçant ainsi la confidentialité des données stockées. Bien qu’elle n’offre pas un accès complet, elle compromet la sécurité des informations sensibles.
- ZDI-CAN-25617 : Également une attaque MITM, cette vulnérabilité permet à un attaquant adjacent d’écrire des fichiers spécifiques sur le système cible, posant des risques d’altération de données.
Synology réagit avec une mise à jour rapide
En publiant DSM 7.2.2 Update 1, Synology démontre une forte réactivité en matière de sécurité, essentielle pour rassurer les utilisateurs et les entreprises utilisant leurs appareils de stockage. Cette mise à jour est hautement recommandée pour tous les utilisateurs DSM, car elle permet de protéger leurs données et leur système contre les attaques identifiées.
Synology invite tous les utilisateurs à mettre à jour leur système vers DSM 7.2.2 Update 1 dès que possible pour réduire le risque d’exploitation de ces vulnérabilités. La mise à jour est disponible directement depuis l’interface DSM, dans la section des paramètres de mise à jour.