Os pesquisadores também afirmaram que o aplicativo de fotos, que ajuda os usuários a organizar fotos, fornece fácil acesso, quer os clientes conectem seu dispositivo NAS diretamente à internet ou através do serviço QuickConnect da Synology, que permite aos usuários acessar seu dispositivo NAS remotamente de qualquer lugar. E uma vez que os atacantes encontram um dispositivo Synology NAS conectado à nuvem, eles podem facilmente localizar outros devido à maneira como os sistemas são registrados e atribuídos IDs.
“Há muitos desses dispositivos conectados a uma nuvem privada através do serviço QuickConnect, e esses são também exploráveis, então mesmo que você não o exponha diretamente à internet, você pode explorá-lo através desse serviço, e são dispositivos na ordem dos milhões,” diz Wetzels.
Os pesquisadores foram capazes de identificar dispositivos Synology NAS conectados à nuvem pertencentes a departamentos de polícia nos Estados Unidos e na França, bem como a um grande número de escritórios de advocacia baseados nos EUA, Canadá e França, e operadores de frete e tanques de petróleo na Austrália e na Coreia do Sul. Eles até encontraram dispositivos pertencentes a empreiteiras de manutenção na Coreia do Sul, Itália e Canadá que trabalham em redes de energia e nas indústrias farmacêutica e química.
“Essas são empresas que armazenam dados corporativos … documentos de gerenciamento, documentos de engenharia e, no caso de escritórios de advocacia, talvez arquivos de casos,” observa Wetzels.
Os pesquisadores dizem que o ransomware e o roubo de dados não são a única preocupação com esses dispositivos – os atacantes também podem transformar sistemas infectados em botnets para servir e ocultar outras operações de hacking, como uma enorme botnet que os hackers do Volt Typhoon da China haviam construído a partir de roteadores residenciais e de escritório infectados para ocultar suas operações de espionagem.
A Synology não respondeu a um pedido de comentário, mas o site da empresa publicou dois avisos de segurança relacionados ao problema em 25 de outubro, chamando a vulnerabilidade de “crítica.” Os avisos, que confirmaram que a vulnerabilidade foi descoberta como parte da competição Pwn2Own, indicam que a empresa lançou patches para a vulnerabilidade. No entanto, os dispositivos NAS da Synology não têm capacidade de atualização automática, e não está claro quantos clientes sabem sobre o patch e o aplicaram. Com o patch lançado, também se torna mais fácil para os atacantes descobrirem a vulnerabilidade a partir do patch e projetarem um exploit para visar os dispositivos.
“Não é trivial encontrar [a vulnerabilidade] por conta própria, independentemente,” diz Meijer à WIRED, “mas é bastante fácil descobrir e conectar os pontos quando o patch é lançado e você inverte a engenharia do patch.”
