A Synology, fabricante taiwanesa de dispositivos de armazenamento conectado à rede (NAS), está incentivando seus usuários a atualizarem seus sistemas para corrigir uma falha crítica de segurança. A vulnerabilidade, identificada como CVE-2024-10443, afeta dispositivos DiskStation e BeePhotos e pode permitir execução remota de código (RCE), um dos tipos de ataque mais perigosos.

Essa falha, descoberta pelo pesquisador Rick de Jager durante o concurso de hacking Pwn2Own Irlanda 2024, é caracterizada como uma vulnerabilidade de “zero clique” não autenticada. Isso significa que os atacantes podem explorá-la sem qualquer interação do usuário, o que aumenta significativamente o risco.

Com essa vulnerabilidade, invasores podem obter acesso de nível root nos dispositivos, abrindo a possibilidade de roubo de dados confidenciais e instalação de malwares adicionais. Para dar tempo aos usuários aplicarem os patches, a Synology e a Midnight Blue decidiram não divulgar detalhes técnicos adicionais sobre a vulnerabilidade.

Atualmente, estima-se que entre um e dois milhões de dispositivos Synology estejam expostos à internet e vulneráveis a esse ataque, tornando urgente a instalação das atualizações. A divulgação dessa vulnerabilidade ocorre em um momento em que outra empresa do setor, a QNAP, corrigiu três falhas críticas em seus dispositivos NAS. Embora não haja evidências de que essas vulnerabilidades estejam sendo exploradas ativamente, os dispositivos NAS são conhecidos por serem alvos valiosos para ataques de ransomware.