避免零点击漏洞攻击！群晖敦促用户尽快升级设备

土耳鸡烤鸡 · 发表于 2024-12-22 12:25:46

本帖最后由土耳鸡烤鸡于 2024-12-22 15:29 编辑

据外媒消息。Synology 群晖近日修补了其网络附加存储(NAS)设备中的一项严重的零点击（zero click）漏洞。该漏洞使攻击者能够在没有任何用户交互的情况下远程执行恶意代码，从而威胁到用户的系统安全。为了表彰发现并报告这一关键漏洞的研究团队，Synology决定提供高达26万美元的奖励。

据土耳鸡烤鸡最新了解，这家 NAS 设备巨头通过官网发布了一则关于抵御零点击攻击的紧急通知，称该漏洞可能导致黑客远程劫持用户的设备。为了确保用户的安全，Synology 先后发布了两份公告，详细说明了其数据存储产品中的漏洞修补情况，尤其是针对 DMS 的照片功能和 BeeStation 的 BeePhotos 应用中存在的问题。

这些问题在近期举办的 Pwn2Own Ireland 2024 安全挑战中被公开展示，这些漏洞允许远程代码执行，构成了极大的安全隐患。由于攻击者可以在无需任何用户交互的情况下完全控制受影响的设备，因此这一漏洞的潜在危害性不容小觑。

远程代码执行漏洞尤其危险，因为它们使攻击者能够在设备上执行任意命令，进而威胁到系统的整体安全性，并可能导致敏感数据泄露。通过解决这些漏洞，Synology 确保应用更新的用户能够更好地保护其设备免受潜在攻击，不仅防止了远程访问的风险，还降低了勒索软件、数据盗窃以及其他利用 NAS 漏洞的攻击可能性。

存储敏感信息的设备通常连接到互联网，因此更容易受到攻击。为了有效防范恶意行为者，定期安装安全补丁至关重要。例如，在由 Trend Micro 的零日计划 (ZDI) 组织的 Pwn2Own Ireland 2024 大赛中，成功展示跨设备漏洞利用的白帽黑客获得了超过 100 万美元的奖金，这些设备包括 NAS 系统、摄像头和智能音响。