La vulnerabilidad, que se denomina zero-click porque no requiere que el usuario haga clic en nada para infectarse, afecta a una aplicación fotográfica, SynologyPhotos, instalada por defecto en los populares dispositivos de almacenamiento en red (NAS) de la firma taiwanesa Synology. El fallo permitiría a los atacantes acceder a los dispositivos para robar archivos personales y corporativos, plantar una puerta trasera o infectar los sistemas con ransomware para impedir que los usuarios accedan a sus datos.
Rick de Jager, investigador de seguridad de Midnight Blue en los Países Bajos, descubrió la vulnerabilidad en dos horas como parte del concurso de hacking Pwn2Own en Irlanda. Él y sus colegas Carlo Meijer, Wouter Bokslag y Jos Wetzels realizaron un escaneo de dispositivos conectados a Internet y descubrieron cientos de miles de NAS Synology conectados en línea que son vulnerables al ataque. Los investigadores afirman, sin embargo, que millones de otros dispositivos son potencialmente vulnerables y accesibles al ataque.
Los sistemas de almacenamiento conectados a la red se consideran objetivos de gran valor para los operadores de ransomware porque almacenan grandes volúmenes de datos. Muchos usuarios los conectan directamente a Internet desde sus propias redes o utilizan el almacenamiento en la nube de Synology para hacer copias de seguridad en línea de los datos de estos sistemas.
Los sistemas pueden configurarse con una puerta de enlace que requiere credenciales para acceder a ellos, la parte de la aplicación de fotos que contiene la vulnerabilidad zero-click no requiere autenticación, por lo que los atacantes pueden explotar la vulnerabilidad directamente a través de Internet sin necesidad de saltarse una puerta de enlace. La vulnerabilidad les da acceso root para instalar y ejecutar cualquier código malicioso en el dispositivo.
Para leer más tarde...
Los investigadores también dijeron que la aplicación de fotos, que ayuda a los usuarios a organizar las fotos, proporcionaba un acceso fácil tanto si los clientes conectaban su dispositivo NAS directamente a Internet por sí mismos como a través del servicio QuickConnect de Synology, que permite a los usuarios acceder a su NAS de forma remota desde cualquier lugar. Y una vez que los atacantes encuentran un NAS de Synology conectado a la nube, pueden localizar fácilmente otros debido a la forma en que los sistemas se registran y se les asignan identificadores.
«Hay muchos de estos dispositivos que están conectados a una nube privada a través del servicio QuickConnect, y esos también se pueden explotar, así que incluso si no se exponen directamente a Internet, se pueden explotar [los dispositivos] a través de este servicio, y se trata de dispositivos del orden de millones», afirma Wetzels.
Los investigadores pudieron identificar NAS Synology conectados a la nube propiedad de departamentos de policía de Estados Unidos y Francia, así como de un gran número de bufetes de abogados con sede en Estados Unidos, Canadá y Francia, y de operadores de tanques de carga y petróleo de Australia y Corea del Sur. Incluso encontraron otras propiedad de contratistas de mantenimiento de Corea del Sur, Italia y Canadá que trabajan en redes eléctricas y en las industrias farmacéutica y química.
«Se trata de empresas que almacenan datos corporativos… documentos de gestión, de ingeniería y, en el caso de los bufetes de abogados, quizá expedientes de casos», señala Wetzels.
Los investigadores señalan que el ransomware y el robo de datos no son los únicos problemas que plantean estos dispositivos: los atacantes también podrían convertir los sistemas infectados en una red de bots para dar servicio y ocultar otras operaciones de piratería informática, como la red de bots masiva que los hackers chinos de Volt Typhoon habían construido a partir de routers domésticos y de oficina infectados para ocultar sus operaciones de espionaje.
Synology ha publicado dos avisos de seguridad relacionados con el problema el 25 de octubre, calificando la vulnerabilidad de «crítica». Los avisos, que confirmaron que la vulnerabilidad se descubrió en el marco del concurso Pwn2Own, indican que la empresa publicó parches para la vulnerabilidad. Sin embargo, los dispositivos NAS de Synology no tienen capacidad de actualización automática, y no está claro cuántos clientes conocen el parche y lo han aplicado.
La publicación del parche también facilita a los atacantes la tarea de descubrir la vulnerabilidad a partir del parche y diseñar un exploit para atacar los dispositivos. «No es trivial encontrar [la vulnerabilidad] por tu cuenta, de forma independiente», “pero es bastante fácil de averiguar y conectar los puntos cuando el parche está realmente liberado y haces ingeniería inversa del parche”.
Asi que ya sabes, si tienes un NAS Synology y utilizas la aplicación Synology Photos, actualizala cuanto antes.