Découvrez vite le correctif de sécurité pour Synology Photos sur DSM pour protéger votre NAS!
Une nouvelle faille de sécurité zero-day a été récemment découverte dans Synology Photos, une application pour DSM, le système d’exploitation pour NAS de Synology. Cette vulnérabilité a été identifiée lors de la compétition de hacking Pwn2Own. Voyons en détail ce qu’il en est.
La faille de sécurité dans Synology Photos
Lors de la compétition de hacking Pwn2Own Ireland 2024 qui s’est déroulée du 22 au 25 octobre 2024, plusieurs vulnérabilités ont été mises en lumière. Parmi celles-ci, une faille de sécurité a été décelée dans Synology Photos pour DSM, ainsi que dans l’application de sauvegarde pour NAS QNAP (CVE-2024-50388).
Synology Photos, une application développée par le fabricant de NAS lui-même, permet la gestion de bibliothèques de photos et vidéos personnelles sur un NAS, avec une synchronisation automatique entre un smartphone et le NAS. Bien qu’elle ne soit pas préinstallée sur DSM, Synology Photos compte plus de 9 millions de téléchargements.
Désignée sous la référence CVE-2024-10443, la nouvelle faille zero-day a été identifiée par Rick de Jager, un chercheur en sécurité de chez Midnight Blue. Cette vulnérabilité, baptisée “RISK:STATION”, peut permettre à un attaquant non authentifié d’exécuter du code en tant que root sur les NAS Synology DiskStation et BeeStation. Synology décrit cette faille comme critique, permettant à des attaquants distants d’exécuter un code arbitraire.
La réaction de Synology et la publication d’un correctif
Après la démonstration de la vulnérabilité à Synology, un correctif a été rapidement mis à disposition pour résoudre ce problème. Il est essentiel de souligner la réactivité de Synology dans cette situation. Selon les règles de la compétition, les entreprises disposent de 90 jours pour diffuser un correctif avant que la Zero Day Initiative de Trend Micro ne publie les détails techniques des vulnérabilités découvertes.
Comment sécuriser son NAS ?
Si vous utilisez Synology Photos, il est crucial d’installer la mise à jour de sécurité suivante :
Pour DSM 7.2 :
Synology Photos 1.7 pour DSM 7.2 : mettre à jour vers la version 1.7.0-0795 ou ultérieure.
Synology Photos 1.6 pour DSM 7.2 : mettre à jour vers la version 1.6.2-0720 ou ultérieure.
Assurez-vous également de mettre à jour BeePhotos pour BeeStation OS dans les versions suivantes :
BeePhotos pour BeeStation OS 1.1 : mise à jour vers la version 1.1.0-10053 ou supérieure.
BeePhotos pour BeeStation OS 1.0 : mise à jour vers la version 1.0.2-10026 ou supérieure.
En cas d’exposition de votre NAS sur Internet et d’utilisation de Synology Photos, il est fortement recommandé d’appliquer ces mises à jour le plus rapidement possible. Bien que la vulnérabilité ne soit actuellement pas exploitée dans des cyberattaques, la situation pourrait évoluer.
Source : www.it-connect.fr