Alvarlegur veikleiki í VPN Plus Server

Tilkynnt var um alvarlegan veikleika á dögunum í kerfi VPN Plus Server hjá Synology. Veikleikinn hefur fengið auðkennið CVE-2022-43931 og hefur fengið CVSSv3 skor 10 [1]. 

Misnotkun á veikleikunum gerir árásaraðila kleift að senda sérstakar beiðnir á kerfið til að keyra kóða eða skipanir sem geta verið nýttar til innbrota (e. remote code execution) [1,2]. 

Eftirfarandi kerfi eru veik fyrir gallanum [1]: 

• VPN Plus Server for SRM 1.3 < 1.4.4-0635 
• VPN Plus Server for SRM 1.2 < 1.4.3-0534 

VPN Plus Server breytir Synology netbeini í VPN þjón sem gerir notendum kleift að nálgast auðlindir bakvið netbeininn [2,3]. 

Einnig bendum við á að uppfæra Synology Router Manager (SRM) 1.2 < 1.2.5-8227-6 og SRM 1.3 < 1.3.1-9346-3 sem lagfærir samansafn af veikleikum sem meðal annars inniheldur veikleika sem gerir árásaraðila að kleift að senda sérstakar beiðnir á kerfið til að keyra kóða eða skipanir sem geta verið nýttar til innbrota. Ekki hefur verið gefið upp CVE auðkenni né skor fyrir þessa veikleika hjá Synology [2,4]. 

CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu sem hefur lagfært þennan veikleika (og SRM), ef það er ekki hægt að uppfæra strax er mælt með afvirkja VPN Plus Server virknina á Synology netbeininum ef hægt er. 

Tilvísanir: 
[1] https://www.synology.com/en-us/security/advisory/Synology_SA_22_26 
[2] https://www.bleepingcomputer.com/news/security/synology-fixes-maximum-severity-vulnerability-in-vpn-routers/ 
[3] https://kb.synology.com/en-nz/SRM/help/VPNPlusServer/vpnplus_server_desc?version=1_2 
[4] https://www.synology.com/en-us/security/advisory/Synology_SA_22_25