Les clients de Synology, fournisseur de solutions de réseau et de stockage basé à Taiwan, ont été avertis de la disponibilité de correctifs pour un certain nombre de problèmes graves, y compris ceux qui ont probablement été récemment exploités lors de la compétition de piratage Pwn2Own.

À la fin du mois de décembre, la société a publié deux autres avis critiques. L'un d'eux traite d'une vulnérabilité affectant Synology VPN Plus Server, qui transforme les routeurs en serveurs VPN de pointe, qui a été découverte en interne.

La faille de sécurité, connue sous le nom de CVE-2022-43931, est un problème d'écriture hors limites dans la fonctionnalité de bureau à distance de VPN Plus Server. Elle peut permettre à un attaquant distant d'exécuter des commandes arbitraires.

Le système d'exploitation qui exécute les routeurs de l'entreprise, Synology Router Manager (SRM), est décrit dans la deuxième alerte comme ayant diverses vulnérabilités. Les faiblesses peuvent être utilisées pour lire des fichiers arbitraires, exécuter des commandes arbitraires et lancer des attaques DoS.

Les vulnérabilités ont été signalées par un certain nombre de personnes et d'organisations, dont Computest et Gaurav Baruah, selon l'avis SRM. Ils ont rendu les problèmes publics via la Zero Day Initiative (ZDI) de Trend Micro.