群暉科技：OpenSSL漏洞波及該公司多項產品

開源的安全通訊軟體函式庫OpenSSL在24日修補了CVE-2021-3711與CVE-2021-3712兩個安全漏洞，臺灣網路附加儲存（NAS）製造商群暉科技（Synology）很快就警告，該公司有多款NAS及VPN產品受到這兩個漏洞的影響，並正著手修補中。

其中的CVE-2021-3711為一SM2加密緩衝區溢位漏洞，成功的開採將允許駭客變更應用程式的行為或造成應用程式當掉，其CVSS風險評分為8.1。而CVE-2021-3712則是因假定ASN.1字串是以NUL結束，駭客若迫使應用程式呼叫一個函數，故意使用非以NUL結束的字串，就能觸發該漏洞，導致應用程式當掉或揭露記憶體中的資訊，其CVSS風險評分為5.3。

群暉表示，受到這兩個漏洞影響的產品包括不同版本的DiskStation Manager（DSM）與Synology Router Manager（SRM），以及虛擬網路伺服器VPN Plus Server與VPN Server（如下圖所示）。其中，DSM為Synology NAS 專用的作業系統，Synology Router Manager則是Synology路由器作業系統，目前該公司正在修補受到波及的平臺。

圖片擷取自群暉科技官方網站（截圖時間：8月27日 16:44）

除了群暉的產品之外，紅帽也有多個產品受到這兩個漏洞的波及。

今年8月初，群暉才收到用戶回報有異常數量的IP企圖登入該公司的NAS產品，群暉的調查顯示，駭客是透過暴力破解法發動攻擊，並非開採系統漏洞，同時建議使用者強化帳號權限與密碼設定。

其實群暉自2017年就推出抓漏獎勵專案，截至今年3月，已與超過200名的資安研究人員或組織合作，所頒發的獎金超過25萬美元。