Dans le cadre du concours annuel Pwn2Own à Toronto, plusieurs failles de sécurité ont été découvertes sur les NAS Synology. Le fabricant n’a pas tardé à fournir une mise à jour de son logiciel interne pour combler ces failles. Explications…
Synology DSM 7.1.1 Update 3
Pwn2Own est un concours destiné aux chercheurs en sécurité informatique. C’est l’occasion pour les entreprises et hackers (éthiques) de montrer leurs compétences/connaissances dans le domaine. Un système de primes est mis en place pour tous ceux qui trouvent et exploitent une faille de sécurité. Attention, les chercheurs doivent être à même d’expliquer dans le détail la ou les failles exploitées et surtout ils s’engagent à ne pas les divulguer. On parle ici de jolies sommes d’argent pouvant dépasser plusieurs dizaines de milliers de dollars. Pour les fabricants et éditeurs de logiciel, c’est l’occasion de soumettre leurs outils à des hackers du monde entier pour chercher des failles 0-day.
Dès le premier jour, de nombreux appareils ont été malmenés : routeur MikroTik, imprimante Canon, smartphone Samsung et NAS Synology. Plus de 400 000$ ont été distribués dès le premier jour. L’équipe de Claroty Research, a remporté 40 000$ pour avoir trouvé et exploité 3 failles de sécurité sur un NAS Synology DS920+ : 2x absence d’authentification pour une fonction critique et 1x contournement d’une authentification. Ça, c’est hier 7 décembre…
Claroty Research was able to execute a chain of 3 bugs (2x Missing Auth for Critical Function and an Auth Bypass) attack against the Synology DiskStation DS920+ in the NAS category. They earn $40K and 4 Master of Pwn points. #Pwn2Own #P2OToronto pic.twitter.com/ZNHtF7wmUc
— Zero Day Initiative (@thezdi) December 6, 2022
En échange de cette prime, Synology a eu accès au détail complet et propose dès aujourd’hui une mise à jour. Oui, moins de 24 heures après… le fabricant a mis en ligne un correctif : DSM 7.1.1-42962 Update 3. Synology ne rentre pas dans le détail et indique seulement :
- Correction de plusieurs vulnérabilités de sécurité (Synology-SA-22:23).
A noter que seul DSM 7.1.1 dispose d’une mise à jour. Si les failles exploitées ici sont également présentes dans DSM 7.0 et DSM 6.2 (voir SRM), Synology fournira une mise à jour le cas échéant.
Téléchargement et installation de DSM 7.1.1 update 3
Nous vous recommandons vivement d’installer cette nouvelle version de DSM 7.1.1 Update 3. Vous pouvez attendre que votre NAS vous la propose ou l’installer manuellement. Pour ce second choix, vous pouvez passer par la page de téléchargement du site Synology, ou le site Archive du fabricant, et vous choisissez votre le fichier .PAT correspondant à votre NAS.
Connectez-vous à l’interface d’administration, puis allez dans Panneau de configuration > Mise à jour et restauration et cliquez sur le bouton Mise à jour manuelle de DSM puis le bouton Parcourir. Sélectionnez le fichier précédemment téléchargé et cliquez sur le bouton OK. Il ne vous reste plus qu’à patienter quelques minutes.