Synology heeft een fix uitgebracht voor een ernstige kwetsbaarheid in de Vpn Plus Server-software, waarmee routers van het merk dienst kunnen doen als vpn-server. Volgens Bleeping Computer kunnen aanvallers malafide code uitvoeren via deze achterdeur, zonder dat er nood is aan verhoogde rechten. De bug CVE-2022-43931 heeft dan ook de maximale CVSS3-basisscore van 10 punten gekregen.
De beveiligingsonderzoekers van Synology geven aan dat het om een out-of-bounds write-kwetsbaarheid gaat, die toestaat om willekeurige commando’s uit te voeren via niet gespecificeerde vectoren. Misbruik van deze zwakke schakel kan leiden tot ernstige gevolgen, zoals datacorruptie, crashes en het uitvoeren van code na geheugencorruptie.
De getroffen varianten bestaan uit Vpn Plus Server for SRM (Synology Router Manager) 1.2 en 1.3. Er wordt aangeraden om te upgraden naar versie 1.4.4-0635 of nieuwer voor wie 1.3 draait, gevolgd door 1.4.3-0534 of nieuwer voor 1.2.
Bronnen: Bleeping Computer, Synology
