Si vous disposez d’une ancienne version de DSM (de mai), il peut être urgent d’appliquer la dernière mise à jour. En effet, des chercheurs en sécurité ont découvert plusieurs failles de sécurité sur les NAS Synology. Elles permettent à des attaquants de contourner les mesures de sécurité et de compromettre l’intégrité des données. Les systèmes concernés : DSM 7.2, DSM 7.1… SRM 1.3 serait également concerné.
Télécharger et installer la dernière version
La semaine dernière, nous vous alertions sur le forum et les réseaux sociaux d’une attaque d’envergure ciblant les NAS Synology. Il s’agissait d’une attaque Bruteforce sur le compte admin. Aujourd’hui, c’est légèrement différent…
Avant toute chose, si votre NAS dispose à minima de DSM 7.2-64561 ou DSM 7.1-42661, alors vous êtes déjà protégés. Pour les autres, il y a de quoi s’inquiéter :
- Faille dans DSM 7.1 : La vulnérabilité permet à des utilisateurs authentifiés distants de lire et d’écrire des fichiers sans avoir les droits. DSM 7.2 n’est pas concerné.
- Faille dans DSM 7.2 : La vulnérabilité permet à des attaquants distants d’obtenir les informations d’identification d’un utilisateur. DSM 7.1 est également impacté, mais il n’y aurait pas de correctif.
A noter que DSM 6.2 et DSM 7.0 sont également concernés par ces 2 failles… et il n’y a pas (encore) de correctif.
Vous l’aurez compris, l’attaque est limitée pour DSM 7.1… mais elle reste bien réelle. Il faut que l’attaquant soit déjà authentifié (qu’il dispose d’un compte légitime). C’est ce qu’on appelle une élévation de privilèges/droits. Pour DSM 7.2, les informations sont encore très floues : valeurs insuffisamment aléatoires dans la fonctionnalité de gestion des utilisateurs. Cependant, on sait que l’attaquant peut récupérer des informations d »identification ! Si un attaquant arrive à combiner les 2 failles (sous DSM 7.1 ou inférieur), cela pourrait être dramatique.
À l’heure où nous écrivons ces lignes, rien n’indique que ces failles aient été exploitées. Cependant, nous vous recommandons vivement d’appliquer la dernière mise à jour de DSM pour votre NAS. Si vous n’avez pas de mise à jour pour votre NAS, ne l’exposer pas sur Internet !
Et SRM ?
Pour SRM 1.3, le système serait également concerné par ces 2 vulnérabilités (ici et là)… mais il n’y a pas de correctif pour le moment. En effet le constructeur annonce seulement : En cours. SRM 1.2 serait également impacté.