Die Forscher sagten außerdem, dass die Fotoanwendung, die Benutzern beim Organisieren von Fotos hilft, einen einfachen Zugriff ermöglicht, unabhängig davon, ob Kunden ihr NAS-Gerät selbst direkt mit dem Internet verbinden oder über den QuickConnect-Dienst von Synology, der Benutzern den Fernzugriff auf ihr NAS von überall aus ermöglicht. Und sobald Angreifer ein mit der Cloud verbundenes Synology NAS finden, können sie aufgrund der Art und Weise, wie die Systeme registriert und IDs zugewiesen werden, andere leicht ausfindig machen.
„Viele dieser Geräte sind über den QuickConnect-Dienst mit einer privaten Cloud verbunden und auch diese können ausgenutzt werden. Selbst wenn man sie also nicht direkt dem Internet aussetzt, kann man sie ausnutzen [the devices] über diesen Dienst, und das sind Geräte in der Größenordnung von Millionen“, sagt Wetzels.
Die Forscher konnten mit der Cloud verbundene Synology NAS identifizieren, die sich im Besitz von Polizeibehörden in den USA und Frankreich sowie einer großen Anzahl von Anwaltskanzleien mit Sitz in den USA, Kanada und Frankreich sowie Fracht- und Öltankbetreibern in Australien und Australien befinden Südkorea. Sie fanden sogar Anlagen von Wartungsunternehmen in Südkorea, Italien und Kanada, die an Stromnetzen sowie in der Pharma- und Chemieindustrie arbeiten.
„Das sind Firmen, die Unternehmensdaten speichern … Managementdokumente, technische Dokumente und im Fall von Anwaltskanzleien vielleicht Fallakten“, bemerkt Wetzels.
Die Forscher sagen, dass Ransomware und Datendiebstahl nicht die einzigen Probleme bei diesen Geräten sind – Angreifer könnten infizierte Systeme auch in ein Botnetz verwandeln, um andere Hacking-Operationen zu bedienen und zu verbergen, wie z Riesiges Botnetz, das Volt-Typhoon-Hacker aus China nutzen hatten aus infizierten Heim- und Büro-Routern gebaut, um ihre Spionageoperationen zu verbergen.
Synology antwortete nicht auf eine Bitte um einen Kommentar, auf der Website des Unternehmens wurden jedoch zwei Kommentare veröffentlicht Sicherheitshinweise meldete sich am 25. Oktober zu dem Problem und bezeichnete die Sicherheitslücke als „kritisch“. Die Hinweise, die bestätigte, dass die Schwachstelle im Rahmen von Pwn2Own entdeckt wurde Wettbewerb, weisen darauf hin, dass das Unternehmen Patches für die Sicherheitslücke veröffentlicht hat. Die NAS-Geräte von Synology verfügen jedoch nicht über die Fähigkeit zur automatischen Aktualisierung, und es ist nicht klar, wie viele Kunden von dem Patch wissen und ihn angewendet haben. Mit der Veröffentlichung des Patches ist es für Angreifer nun auch einfacher, die Schwachstelle im Patch herauszufinden und einen Exploit für Zielgeräte zu entwickeln.
„Es ist nicht trivial, es zu finden [the vulnerability] auf eigene Faust, unabhängig“, sagt Meijer zu WIRED, „aber es ist ziemlich einfach, die Zusammenhänge herauszufinden und zu verbinden, wenn der Patch tatsächlich veröffentlicht wird und man den Patch zurückentwickelt.“
