在网络安全领域，零点击漏洞一直是令人头疼的问题。最近，Synology 的网络附加存储（NAS）设备成为了这一问题的焦点。据 Help Net Security 报道，数百万 Synology NAS 设备因存在一个未经身份验证的“零点击”远程代码执行漏洞（CVE-2024-10443，又名 RISK:STATION）而面临风险。这一漏洞影响了 Synology 的 DiskStation 和 BeeStation 系列设备，这些设备广泛应用于家庭、小型办公室和企业环境中。

CVE-2024-10443 是由 Midnight Blue 的安全研究员 Rick de Jager 在 Pwn2Own Ireland 2024 黑客竞赛中发现的。尽管漏洞的具体细节目前尚未公开，但已知它可能允许未经身份验证的攻击者在受影响的设备上实现根级别代码执行。这一漏洞存在于 Synology Photos 和 BeePhotos 应用中，这两个应用分别用于管理 Synology DiskStation 和 BeeStation 设备上的照片和相册。

Synology 在接到漏洞披露后，迅速发布了补丁，修复了这一问题。然而，Midnight Blue 的研究人员警告称，尽管目前尚未发现该漏洞在野外的实际利用，但其高风险性可能导致犯罪分子迅速逆向工程补丁，从而创建和部署新的攻击手段。因此，他们强烈建议用户手动验证系统是否已安装最新补丁，并在必要时手动更新。

Synology Photos 和 BeePhotos 的更新版本分别为 1.7.0-0795 和 1.6.2-0720（适用于 DiskStation Manager v7.2），以及 1.1.0-10053 和 1.0.2-10026（适用于 BeeStation OS v1.1 和 v1.0）。尽管 Synology 没有明确列出潜在的缓解措施，但 Midnight Blue 建议用户禁用 SynologyPhotos 或 BeePhotos 组件，以停用易受攻击的代码并缓解问题。

NAS 设备如果直接通过端口转发连接到互联网，或通过 Synology 的 QuickConnect 服务连接到 Synology Cloud，则容易受到攻击。研究人员解释说，系统所有者可以使用专门的非直接 QuickConnect 子域通过云访问 NAS，连接由 Synology 转发到本地设备，无需端口转发即可通过 NAT 路由器和防火墙。

根据 Shodan 和 Censys 的搜索结果以及对最近创建的 QuickConnect 域的随机抽样，研究人员估计目前有一百万到两百万台设备同时受到攻击并暴露在外。尽管禁用端口转发、阻止端口 5000 和 5001，以及禁用 QuickConnect 可以防止通过互联网利用该漏洞，但受影响的设备仍可能在本地网络内被攻击。

Synology 的 NAS 设备没有自动更新功能，因此不清楚有多少客户知道补丁并已应用。随着补丁的发布，攻击者现在更容易从补丁中推断出漏洞，并设计出针对设备的攻击手段。Midnight Blue 的研究员 Carlo Meijer 表示：“找到漏洞并不容易，但当补丁发布后，逆向工程补丁并连接这些点就相对容易了。”

这一漏洞的发现再次提醒我们，网络安全不仅仅是技术问题，更是管理问题。Synology 的用户应立即采取行动，确保设备已安装最新补丁，以最大限度地降低成为勒索软件、信息盗窃或其他恶意活动的受害者的风险。

在网络安全领域，零点击漏洞的威胁不容小觑。Synology 的这一事件不仅暴露了其产品在安全性方面的不足，也凸显了用户在网络安全管理中的重要性。随着网络攻击手段的不断升级，企业和个人用户必须时刻保持警惕，及时更新设备和应用，以应对潜在的安全威胁。

Synology 的这一漏洞事件也引发了业界对NAS设备安全性的广泛关注。NAS设备作为存储大量数据的高价值目标，一直是网络犯罪分子的重点攻击对象。许多用户将NAS设备直接连接到互联网，或使用云存储服务进行数据备份，这无疑增加了设备的安全风险。

Midnight Blue的研究人员指出，尽管可以通过设置网关要求凭据来访问NAS设备，但包含零点击漏洞的照片应用程序部分不需要身份验证，因此攻击者可以直接通过互联网利用该漏洞，无需绕过网关。这一漏洞为攻击者提供了根访问权限，使其能够在设备上安装和执行任何恶意代码。

此外，Synology的QuickConnect服务也为攻击者提供了便利。研究人员表示，一旦攻击者发现一个云连接的Synology NAS，他们可以轻松找到其他设备，因为这些系统在注册和分配ID时采用了相同的方式。Wetzels指出：“有很多设备通过QuickConnect服务连接到私有云，这些设备同样可以被攻击，即使你没有直接将其暴露在互联网上，也可以通过这一服务进行攻击，这些设备的数量可能达到数百万。”

研究人员还发现，云连接的Synology NAS设备中，包括美国和法国的警察部门、大量位于美国、加拿大和法国的律师事务所，以及澳大利亚和韩国的货运和油罐运营商。他们甚至发现了一些维护承包商的设备，这些承包商在韩国、意大利和加拿大工作，涉及电力网格、制药和化工行业。Wetzels指出：“这些公司存储了大量的公司数据、管理文档、工程文档，以及律师事务所的案件文件。”

除了勒索软件和数据盗窃，攻击者还可以将受感染的系统转变为僵尸网络，用于服务和隐藏其他黑客操作。例如，Volt Typhoon黑客组织就曾利用感染的家庭和办公室路由器构建了一个庞大的僵尸网络，以隐藏其间谍活动。

尽管Synology没有回应置评请求，但该公司在其网站上发布了两个与该问题相关的安全公告，称该漏洞为“关键”。公告确认该漏洞是在Pwn2Own竞赛中发现的，并指出公司已发布了补丁。然而，Synology的NAS设备没有自动更新功能，因此不清楚有多少客户知道补丁并已应用。随着补丁的发布，攻击者现在更容易从补丁中推断出漏洞，并设计出针对设备的攻击手段。

Midnight Blue的研究员Carlo Meijer表示：“找到漏洞并不容易，但当补丁发布后，逆向工程补丁并连接这些点就相对容易了。”这一漏洞的发现再次提醒我们，网络安全不仅仅是技术问题，更是管理问题。Synology的用户应立即采取行动，确保设备已安装最新补丁，以最大限度地降低成为勒索软件、信息盗窃或其他恶意活动的受害者的风险。

在网络安全领域，零点击漏洞的威胁不容小觑。Synology的这一事件不仅暴露了其产品在安全性方面的不足，也凸显了用户在网络安全管理中的重要性。随着网络攻击手段的不断升级，企业和个人用户必须时刻保持警惕，及时更新设备和应用，以应对潜在的安全威胁。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)