Découverte d’une faille de sécurité zero-click dans l’application Photos de Synology

Tech > Photo > Sécurité
Par Morgan publié le 3 novembre 2024 à 13h00.
Tech
Image d'illustration. La cybersécurité

Image d'illustration. La cybersécuritéADN

Il existe un correctif pour cette vulnérabilité, mais les utilisateurs doivent le télécharger eux-mêmes.

Tl;dr

  • Une faille de sécurité dans l’application Synology Photos a été identifiée.
  • Des millions d’utilisateurs Synology pourraient être à risque.
  • Les pirates pourraient exploiter cette faille pour installer du code malveillant.

Une faille de sécurité dans l’application Synology Photos

Si vous êtes propriétaire d’un disque dur NAS Synology, il est fortement recommandé de mettre à jour votre appareil immédiatement. Selon une récente découverte de Wired, un groupe de chercheurs en sécurité néerlandais a identifié une vulnérabilité « zero-click » au sein de l’application Synology Photos. Pour ceux qui ne sont pas familiers avec le terme, ces bugs permettent aux pirates de compromettre un système sans que l’utilisateur ait besoin de cliquer sur quoi que ce soit au préalable.

Des millions d’utilisateurs potentiellement en danger

La firme de cybersécurité Midnight Blue, qui a découvert cette vulnérabilité, estime que des millions d’utilisateurs Synology pourraient être menacés. Bien que l’entreprise ait publié un correctif de sécurité pour résoudre ce problème, les appareils NAS de Synology ne téléchargent pas automatiquement les mises à jour. « Il n’est pas facile de trouver [la vulnérabilité] par soi-même, indépendamment », a déclaré Carlo Meijer, l’un des chercheurs, à Wired.

Les conséquences potentielles de cette vulnérabilité

Selon Midnight Blue, cette vulnérabilité zero-click se trouve dans une partie de l’application Synology Photos qui ne nécessite pas d’authentification. Par conséquent, les attaquants peuvent exploiter ce bug directement via internet, sans avoir à contourner une passerelle en premier lieu. Ils peuvent ainsi obtenir un accès root et installer du code malveillant sur l’appareil compromis. À partir de ce moment, les possibilités pour un individu malveillant sont pratiquement sans limites, allant jusqu’à transformer l’appareil infecté en botnet. La possibilité qu’un gang de rançonneurs cible les appareils Synology n’est pas non plus théorique. Plus tôt cette année, des utilisateurs de DiskStation ont signalé avoir été la cible d’une attaque de rançongiciel.

En savoir plus