Si vous possédez un lecteur Synology NAS, vous devriez mettre à jour votre appareil le plus rapidement possible. Comme l'a d'abord rapporté Wired, un groupe de chercheurs en sécurité néerlandais a récemment découvert une vulnérabilité de type "zero-click" dans l'application Photos de Synology. Pour les non-initiés, de telles vulnérabilités permettent aux pirates de compromettre un système sans que l'utilisateur n'ait à cliquer sur quoi que ce soit au préalable.
Pour compliquer les choses, l'application est préinstallée et activée par défaut sur les périphériques de stockage en réseau Bee de Synology. Elle est également un téléchargement populaire pour les utilisateurs des systèmes DiskStation de l'entreprise.
Midnight Blue, la société de cybersécurité qui a découvert la faille, estime que des millions d'utilisateurs de Synology pourraient être exposés. Bien que l'entreprise ait publié un patch de sécurité pour corriger le bug, les appareils NAS ne téléchargent pas automatiquement les mises à jour. "Il n'est pas facile de trouver la faille elle-même", a déclaré Carlo Meijer, l'un des chercheurs, à Wired. "Mais il est assez facile d'identifier et de relier les liens lorsque le patch est effectivement publié et que l'on fait de la rétro-ingénierie du patch".
Selon Midnight Blue, le clic zéro se trouve dans une partie de l'application Synology Photos qui ne nécessite pas d'authentification. Cela permet aux attaquants d'exploiter la faille directement via Internet, sans devoir d'abord contourner une passerelle. Ils peuvent alors obtenir un accès root et installer un code malveillant sur l'appareil compromis. A partir de ce moment, il n'y a pas grand chose qu'un attaquant malveillant ne puisse faire, et l'entreprise indique qu'il serait même possible de transformer l'appareil infecté en un botnet. La possibilité qu'une bande de ransomware cible les appareils Synology n'est pas seulement théorique. Au début de cette année, des utilisateurs de DiskStation ont déclaré avoir été la cible d'une attaque de ransomware.
