3月19日NAS廠商群暉更新多個去年發布的資安公告,針對去年10月舉行的漏洞挖掘競賽Pwn2Own Ireland 2024當中,找到的NAS設備漏洞,揭露細部資訊,提醒用戶注意部分漏洞非常危險。對此,我們也向群暉進一步詢問,該公司表示他們已提供修補程式,絕大多數用戶已套用更新,此外,有鑑於這些漏洞相當嚴重,群暉也破例為生命週期結束(EOL)的DSM 6.2版提供修補。
根據CVSS風險評分,最危險的是分數達到10分滿分的CVE-2024-10442,這是被稱為「差一錯誤(Off-by-One Error,OBOE)」的程式邏輯錯誤漏洞,存在於NAS設備的遠端複製軟體Replication Service,以及Synology Unified Controller(DSM UC),一旦利用這項漏洞,攻擊者就有機會遠端執行任意程式碼。群暉特別提及,攻擊者還有可能透過未知的管道造成更為廣泛的危害。
另1個評為9.8分的重大層級漏洞CVE-2024-10441,也相當值得留意。該漏洞存在於7.2版以上版本的DSM,以及BeeStation Manager(BSM)的系統外掛程式,為不當編碼及輸入逃逸漏洞,攻擊者也同樣能用來遠端執行任意程式碼。
熱門新聞
2025-03-17
2025-03-17
2025-03-18
2025-03-18
2025-03-19
2025-03-20
2025-03-17
Advertisement