Sinologi (terbuka di tab baru)pembuat yang berbasis di Taiwan penyimpanan yang terhubung ke jaringan (NAS) (terbuka di tab baru) perangkat, telah mengungkapkan bahwa beberapa perangkatnya rentan terhadap kerentanan dilaporkan oleh OpenSSL (terbuka di tab baru) awal minggu ini.
OpenSSL, itu sumber terbuka (terbuka di tab baru) perpustakaan perangkat lunak untuk mengamankan komunikasi, mengungkapkan beberapa bug, yang sekarang dikatakan Synology dapat memanifestasikan dirinya sebagai remote code execution (RCE) dan bug denial-of-service (DoS) di perangkatnya.
“Beberapa kerentanan memungkinkan penyerang jarak jauh untuk melakukan serangan denial-of-service atau mengeksekusi kode arbitrer melalui versi yang rentan dari Manajer DiskStasi Synology (terbuka di tab baru) (DSM), Manajer Router Sinologi (SRM), VPN (terbuka di tab baru) Server Plus atau Server VPN,” catat Synology dalam penasehatnya (terbuka di tab baru).
Di awal bulan, Synology memperingatkan penggunanya (terbuka di tab baru) dari kampanye yang sedang berlangsung yang menargetkan perangkatnya dalam serangan brute-force. Meskipun kampanye terbaru ini tidak dianggap mengeksploitasi kerentanan perangkat lunak apa pun, penyerang selalu mencari kerentanan yang dapat dieksploitasi, seperti yang diwarisi Synology dari OpenSSL.
Dalam perbaikan
Menariknya, sementara dua bug yang berdampak pada OpenSSL, dilacak sebagai CVE-2021-3711 (terbuka di tab baru) dan CVE-2021-3712 (terbuka di tab baru)telah diperbaiki di hulu, Synology belum menerbitkan garis waktu untuk menambal perangkatnya yang terkena dampak.
Menurut penasehat keamanannya, ketersediaan perbaikan untuk perangkat yang terpengaruh terdaftar sebagai “Tertunda” atau “Sedang berlangsung”.
Meskipun Synology belum memberikan tanggal pasti atau bahkan garis waktu untuk mengeluarkan firmware yang ditambal untuk perangkat yang rentan, perusahaan sebelumnya telah memberi tahu BleepingComputer bahwa itu biasanya menambal perangkat lunak yang terpengaruh dalam waktu 90 hari sejak publikasi penasihat keamanan.
Melalui BleepingComputer (terbuka di tab baru)
