オランダのセキュリティコンサルタント「Midnight Blue」のセキュリティ研究者が、Synology NASソフトウェア内の「Photos」アプリにゼロクリックの脆弱性を発見しました。この脆弱性は、アイルランドで開催されたハッキングコンテスト「Pwn2Own」において、セキュリティ研究者のリック・デ・ヤガー氏によって明らかにされました。SynologyのPhotos NASアプリケーションとBeeStation用のBeePhotosソフトウェアに影響を及ぼすことが報告されています。
「この脆弱性は、Pwn2Ownの別の提出物の代替として、数時間のうちに発見されました。問題はデモの直後にSynologyに通知され、48時間以内に修正パッチが提供されました」とMidnight Blueは述べています。しかし、この脆弱性は犯罪利用の可能性が高く、数百万台のデバイスに影響を与えているため、システムオーナーへの連絡も行われ、即座に対策を講じる必要が強調されました。
ゼロクリックの脆弱性とは、認証を必要としない攻撃手法を指し、攻撃者はインターネットを通じてゲートウェイをバイパスせずにこれを悪用することができると、Wiredは説明しています。侵入されると、攻撃者はルートアクセスを得てデバイス上で任意のコードをインストール・実行することが可能になります。
Synologyは、Pwn2Ownの結果が発表された直後にこの脆弱性について認識し、迅速に修正を行いました。ただし、Synology NASデバイスは自動的には更新されないため、ユーザーは直ちにデバイスを更新することが推奨されています。修正は、BeeStation OS 1.1用BeePhotos(1.1.0-10053以上にアップグレード)、BeeStation OS 1.0用BeePhotos(1.0.2-10026以上にアップグレード)、DSM 7.2用Synology Photos 1.7(1.7.0-0795以上にアップグレード)、DSM 7.2用Synology Photos 1.6(1.6.2-0720以上にアップグレード)で利用可能です。
NASは通常、大量の個人データが保存されているため、攻撃者の一般的な標的となります。2021年7月には、Western DigitalのMy Book Live NAS製品が2つの重要な脆弱性により重大な攻撃を受け、攻撃者がデバイスにリモートアクセスし、ハードドライブを消去することが可能となる事態が発生しました。Western Digitalは、ユーザーにオペレーティングシステムの更新を指示することで問題を修正しましたが、すべての影響を受けたデバイスがアップデート可能とは限りませんでした。また、更新されたソフトウェアには、写真家にとって他の問題を引き起こす不具合がありました。
