จุดอ่อนนี้เป็นการโจมตีในแบบ Remote attackers ซึ่งเป็นการโจมตีที่ค่อนข้างอันตราย

ช่องโหว่นี้ถูกพบเมื่อหลายวันก่อน ก่อนหน้าที่ผมจะเขียนบทความนี้ แต่เนื่องจากผมพึ่งจะมาเห็นการแจ้งเตือนว่ามี Update ใน NAS Synology ของผมเมื่อเข้าไปอ่าน Release notes ในเวอร์ชั่นใหม่นี้แล้วค่อนข้างตกใจ เลยต้องรีบมาแจ้งเตือนเพื่อนๆที่ใช้งาน Synology อยู่ให้อัปเดตระบบของท่านโดยทันที

 

คะแนนของ CVSS v3.0 อยู่ที่ 7.5 ถือว่าค่อนข้างสูง

 

 

แต่ละรุ่นของ Synology (อาจจะ)มีรหัส Patch ที่แตกต่างออกไปบ้าง ก็แนะนำว่าให้อัปเดตเป็นเวอร์ชั่นใหม่ล่าสุด

รหัสของช่องโหว่นี้คือ CVE-2022-22680 / SA_22_01 ซึ่งมีผลทั้ง DSM6 และ DSM7 อัปเดตการแก้ไขล่าสุดในวันที่ 01/03/2022 dd/mm/yyyy 

จุดอ่อนนี้ได้รับการแก้ไขใน Patch ตามนี้

DSM 7.0 ให้อัปเดตอุปกรณ์ของท่านเป็นเวอร์ชั่น 7.0.1-42218-2 หรือสูงกว่านี้

DSM 6.2 ให้อัปเดตอุปกรณ์ของท่านเป็นเวอร์ชั่น 6.2.4-25556-3 หรือสูงกว่านี้

การอัปเดต

- เข้าไปที่ Control Panel

- เลือกหัวข้อ Update & Restore

- กด Download แล้วรอซักครู่จะมีปุ่ม Update Now 

** ใช้เวลาประมาณ 20-40 นาที ในการอัปเดตนี้ ***

เมื่อรีบูตเสร็จแล้ว ควรเข้าไปตรวจเช็คอีกครั้งว่า Version ของเราอัปเดตสมบูรณ์ดีแล้วหรือยัง

ณ.วันนี้ในตลาดมืดช่องโหว่นี้มีราคาซื้อ-ขายอยู่ที่ประมาณ 800 usd ซึ่งปรับราคาลงมาจากช่วงแรกที่พบช่องโหว่ค่อนข้างมาก และคาดว่าอีกซักพักก็อาจจะแจกฟรีก็เป็นไปได้

หลังจากอ่านบทความนี้จบก็หวังว่าเพื่อนๆจะไม่ลืมไปอัปเดต NAS ของท่านเพื่อความปลอดภัยในข้อมูลของเพื่อนๆกันนะครับ