Investigadores de seguridad descubren una grave vulnerabilidad zero-click en la aplicación Photos de Synology.

Los propietarios de dispositivos Synology NAS deben actualizar sus dispositivos con urgencia debido a una vulnerabilidad de tipo zero-click descubierta en la aplicación Synology Photos. Este tipo de fallas permite a los hackers infiltrarse en un sistema sin que el usuario necesite interactuar, es decir, sin hacer clic en ningún enlace. Lo preocupante es que esta aplicación viene preinstalada y activada por defecto en la línea de almacenamiento de red Bee de Synology, además de ser bastante popular entre los usuarios de los sistemas DiskStation de la compañía.

La firma de ciberseguridad Midnight Blue, que identificó la vulnerabilidad, estima que millones de usuarios de Synology podrían estar en riesgo. Aunque la empresa ha lanzado un parche de seguridad para solucionar el problema, los dispositivos NAS no descargan actualizaciones de manera automática. Carlo Meijer, uno de los investigadores, señaló que “no es trivial encontrar [la vulnerabilidad] de manera independiente,” pero explicó que resulta más sencillo conectar los puntos una vez que se publica el parche y se lleva a cabo la ingeniería inversa.

Midnight Blue indica que esta vulnerabilidad zero-click se localiza en una sección de la aplicación Synology Photos que no requiere autentificación, lo que permite a los atacantes aprovecharse del fallo directamente a través de internet sin necesidad de sortear una puerta de enlace. Esta situación les concede acceso root y la capacidad de instalar código malicioso en el dispositivo comprometido. Una vez logrado esto, las posibilidades de acción de un atacante se amplían considerablemente, incluso se podría convertir al dispositivo infectado en parte de una botnet. La amenaza de que un grupo de ransomware apunte a dispositivos Synology no es solo una hipótesis; a principios de este año, usuarios de DiskStation informaron haber sido víctimas de un ataque de este tipo.