Los servidores NAS domésticos están ganando poco a poco una gran popularidad entre los usuarios, ya que nos permiten centralizar fácilmente el almacenamiento de nuestro hogar y, además, poder tener nuestro propio pequeño servidor para, por ejemplo, montar una web, descargar torrents de Internet o configurar un VPN, entre una gran infinidad de usos más. La seguridad de estos dispositivos es crítica, por lo que siempre debemos instalar las últimas actualizaciones del software de estos dispositivos para evitar que fallos, como las nuevas vulnerabilidades que afectan a los NAS Synology y a su software Photo Station, puedan poner en peligro nuestra seguridad.
Hace dos días se daba a conocer un nuevo fallo de seguridad en el Kernel de DSM, el sistema operativo que utilizan los NAS Synology. Este fallo de seguridad, que ha obtenido una nota de 7.8 en severidad, puede permitir a un usuario local de un DSM virtual conseguir privilegios dentro del servidor y utilizar dichos permisos para, por ejemplo, causar una denegación de servicio, o DoS, al servidor.
Este fallo de seguridad afecta a DSM 6.1 y, aunque ya ha sido registrado con el código CVE-2017-7533 y confirmado por la compañía, por el momento no se ha lanzado ningún parche para solucionarlo, quedando los usuarios que utilicen los sistemas virtuales en peligro.
Una nueva vulnerabilidad crítica en Photo Station pone en peligro la seguridad de los usuarios de NAS Synology
Además del fallo del kernel, hace apenas unas horas, se hacía público un nuevo fallo de seguridad (junto a su correspondiente exploit) en Synology Photo Station, el software/blog de administración de fotografías personales de estos servidores NAS. Esta nueva vulnerabilidad se basa principalmente en 5 fallos de seguridad registrados con los códigos CVE-2017-11151 / 11155 y ha sido considerada como crítica, afectando a las versiones 6.7.3-3432 y 6.3-2967 de este software fotográfico.
En detalle, los fallos de seguridad que han dado lugar a esta vulnerabilidad crítica son:
- CVE-2017-11151, permite a un atacante subir archivos a un directorio concreto.
- CVE-2017-11152, permite iniciar sesión en el NAS con un mecanismo de autenticación falso.
- CVE-2017-11153, permite iniciar sesión en Photo Station con cualquier identidad.
- CVE-2017-11154, permite a un atacante ejecutar código remoto, con permiso de administrador, en el NAS.
- CVE-2017-11155, se utiliza para identificar si el NAS es vulnerable o no.
Como hemos visto, esta nueva vulnerabilidad es muy peligrosa ya que, de explotarse correctamente, cualquier atacante podría desde subir archivos sin permiso al servidor hasta iniciar sesión en él.
Para protegernos de esta segunda vulnerabilidad debemos ir a DSM > Package Center y actualizar el software fotográfico a la nueva versión lanzada por la compañía. De todas formas, aunque actualicemos nuestro NAS, como hemos dicho, de momento la vulnerabilidad del Kernel de DSM no tiene solución. Os recomendamos visitar nuestro tutorial sobre funcionamiento de Synology Quickconnect.
Aunque Synology ha actuado rápido esta vez para solucionar el fallo de Photo Station, por desgracia, el fabricante no siempre actúa tan rápido para solucionar las vulnerabilidades que afectan a su sistema embebido, y para demostrarlo simplemente tenemos que acceder a su portal de seguridad y ver los fallos, con más de dos meses, que aún están sin resolver.
¿Tienes un NAS Synology? ¿Has instalado ya la nueva versión de este software para protegerte de las graves vulnerabilidades?