บริษัท Synology ผู้ผลิตอุปกรณ์จัดเก็บข้อมูล NAS ยอดนิยม ได้ประกาศเร่งแก้ไขช่องโหว่ความปลอดภัยร้ายแรง 2 ช่องแล้ว ซึ่งถูกพบและสาธิตการโจมตีในงานแข่งขันแฮ็กกิ้งชื่อดัง Pwn2Own
โดยช่องโหว่เหล่านี้ถูกพบในซอฟต์แวร์ Synology Photos และ BeePhotos for BeeStation โดยนักวิจัยความมั่นคงปลอดภัย Rick de Jager จาก Midnight Blue ซึ่งเป็นช่องโหว่แบบ Zero-day โดยหากช่องโหว่เหล่านี้ถูกนำไปใช้โจมตี ผู้โจมตีจะสามารถเข้าควบคุมอุปกรณ์ NAS ของผู้ใช้งานได้ทั้งหมด ทำให้สามารถเข้าถึงข้อมูลส่วนตัว ข้อมูลสำคัญ หรือแม้แต่ใช้เป็นฐานในการโจมตีระบบอื่นๆ ต่อไปได้
Midnight Blue เปิดเผยว่า “ช่องโหว่นี้ถูกค้นพบภายในเวลาเพียงไม่กี่ชั่วโมง เพื่อทดแทนการส่งผลงานอีกชิ้นหนึ่งในการแข่งขัน Pwn2Own หลังจากการสาธิต ช่องโหว่ดังกล่าวถูกแจ้งให้ Synology ทราบทันที และภายใน 48 ชั่วโมง แพตช์แก้ไขก็ถูกปล่อยออกมาแล้ว”
“อย่างไรก็ตาม เนื่องจากช่องโหว่นี้มีความเสี่ยงสูงที่จะถูกนำไปใช้ในทางที่ผิด และมีอุปกรณ์หลายล้านเครื่องที่ได้รับผลกระทบ เราจึงได้ติดต่อสื่อมวลชนเพื่อแจ้งเตือนเจ้าของระบบเกี่ยวกับปัญหานี้ และเน้นย้ำถึงความจำเป็นในการดำเนินการแก้ไขปัญหาโดยทันที”
Synology ระบุว่าได้แก้ไขช่องโหว่เหล่านี้ในเวอร์ชันซอฟต์แวร์ต่อไปนี้ อย่างไรก็ตาม แพตช์เหล่านี้ไม่ได้ถูกติดตั้งโดยอัตโนมัติบนระบบที่เสี่ยงภัย ผู้ใช้จึงควรอัปเดตซอฟต์แวร์โดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น:
BeePhotos for BeeStation OS 1.1: อัปเดตเป็นเวอร์ชัน 1.1.0-10053 หรือสูงกว่า
BeePhotos for BeeStation OS 1.0: อัปเดตเป็นเวอร์ชัน 1.0.2-10026 หรือสูงกว่า
Synology Photos 1.7 for DSM 7.2: อัปเดตเป็นเวอร์ชัน 1.7.0-0795 หรือสูงกว่า
Synology Photos 1.6 for DSM 7.2: อัปเดตเป็นเวอร์ชัน 1.6.2-0720 หรือสูงกว่า
อ่านเพิ่มเติมที่นี่ – BPC
