本周群晖针对今年2月发布安全公告Synology-SA-25:03 DSM说明进一步细节,这则公告的内容主要是针对NAS操作系统DiskStation Manager(DSM)披露安全漏洞CVE-2025-1021,此漏洞由安全企业戴夫寇尔(Devcore)通报,影响7.2.2、7.2.1、7.1版DSM,他们发布7.2.2-72806-3、7.2.1-69057-7、7.1.1-42962-8版DSM进行修补。
群晖指出这项漏洞存在于名为synocopy的组件,起因是缺乏授权,一旦攻击者成功利用,就有机会通过可写入(Writable)的网络文件系统(Network File System,NFS)服务,读取任意文件,CVSS风险为7.5分。为何群晖要强调“可写入”的NFS服务?一般来说,NFS在多数情况是可以读取和写入,但NFS也能设置为只读模式,群晖SIRT强调,只要NAS配置为可写入的NFS,这项弱点就会出现。
根据群晖评估其危险因素,这项漏洞高度影响机密性,攻击者利用的复杂程度不高、无需特殊权限,也不需用户互动。由于群晖强调,这项漏洞能让攻击者以不特定的方法,远程访问NAS的任何文件,这代表攻击者很有可能借此窃取用户的数据,或是NAS存放的企业内部文件,甚至是帐密数据与NAS的系统配置,这项弱点带来的影响,有可能相当深远。由于没有其他替代的缓解措施,因此IT人员应尽快套用新版DSM应对。
