情境示意圖

開源的安全通訊軟體函式庫OpenSSL在24日修補了CVE-2021-3711與CVE-2021-3712兩個安全漏洞,臺灣網路附加儲存(NAS)製造商群暉科技(Synology)很快就警告,該公司有多款NAS及VPN產品受到這兩個漏洞的影響,並正著手修補中。

其中的CVE-2021-3711為一SM2加密緩衝區溢位漏洞,成功的開採將允許駭客變更應用程式的行為或造成應用程式當掉,其CVSS風險評分為8.1。而CVE-2021-3712則是因假定ASN.1字串是以NUL結束,駭客若迫使應用程式呼叫一個函數,故意使用非以NUL結束的字串,就能觸發該漏洞,導致應用程式當掉或揭露記憶體中的資訊,其CVSS風險評分為5.3。

群暉表示,受到這兩個漏洞影響的產品包括不同版本的DiskStation Manager(DSM)與Synology Router Manager(SRM),以及虛擬網路伺服器VPN Plus Server與VPN Server(如下圖所示)。其中,DSM為Synology NAS 專用的作業系統,Synology Router Manager則是Synology路由器作業系統,目前該公司正在修補受到波及的平臺。

圖片擷取自群暉科技官方網站(截圖時間:8月27日 16:44)

除了群暉的產品之外,紅帽也有多個產品受到這兩個漏洞的波及

今年8月初,群暉才收到用戶回報有異常數量的IP企圖登入該公司的NAS產品,群暉的調查顯示,駭客是透過暴力破解法發動攻擊,並非開採系統漏洞,同時建議使用者強化帳號權限與密碼設定。

其實群暉自2017年就推出抓漏獎勵專案,截至今年3月,已與超過200名的資安研究人員或組織合作,所頒發的獎金超過25萬美元。


熱門新聞

Advertisement