Una reciente investigación ha revelado una grave vulnerabilidad de tipo «zero-click» en los sistemas de almacenamiento NAS de Synology, según un grupo de investigadores holandeses. La falla, que afecta a la aplicación de fotos preinstalada, permite que los atacantes accedan a los datos del dispositivo sin que el usuario realice ninguna acción. Esta vulnerabilidad de zero-click en NAS de Synology supone un riesgo significativo, ya que muchas empresas y usuarios domésticos confían en estos sistemas para almacenar grandes volúmenes de información sensible.
Esta vulnerabilidad fue descubierta por Rick de Jager y su equipo en el Pwn2Own hacking contest. Los investigadores notificaron a Synology para que tomara medidas. Sin embargo, el problema reside en que, al estar conectados a internet, los NAS se convierten en un blanco fácil para los atacantes. En particular, el fallo permite que los atacantes tengan acceso de root, lo que les da el poder de instalar o ejecutar cualquier código malicioso en el dispositivo. El riesgo de zero-click en NAS de Synology está siendo tomado muy en serio.
Conexiones Inseguras en Synology QuickConnect
Uno de los aspectos más alarmantes de esta vulnerabilidad es que se ve agravada por el uso de Synology QuickConnect, una funcionalidad que permite a los usuarios acceder a sus NAS desde cualquier lugar. Los investigadores advierten que, una vez un NAS es localizado y vulnerado, los atacantes pueden rastrear otros dispositivos registrados de manera similar. Esto expone a millones de dispositivos en todo el mundo. La combinación de zero-click en NAS de Synology y Synology QuickConnect aumenta los riesgos.
La investigación también reveló que numerosos NAS de Synology conectados en la nube pertenecen a departamentos de policía, bufetes de abogados, y empresas de transporte y energía en países como Estados Unidos, Francia, Canadá, y Corea del Sur. Estos dispositivos almacenan datos críticos, desde documentos corporativos hasta archivos judiciales. Ante la situación, resulta preocupante que estos datos estén potencialmente al alcance de atacantes. Esto demuestra la gravedad de la vulnerabilidad de zero-click en NAS de Synology.
Riesgo Alto para Empresas y Usuarios
La falta de actualizaciones automáticas en los dispositivos Synology agrava aún más la situación. Aunque Synology ya ha lanzado parches, los NAS no se actualizan automáticamente, lo cual es un problema que debería resolverse para prevenir futuras amenazas. Comparado con otros fabricantes, Synology debería considerar implementar actualizaciones automáticas de seguridad. Este cambio no solo protegería los datos de los usuarios. También reforzaría la confianza en sus productos ante vulnerabilidades como zero-click en NAS de Synology.
