ويقول الباحثون أيضًا إن تطبيق الصور، الذي يساعد المستخدمين على تنظيم الصور، يوفر سهولة الوصول سواء قام العملاء بتوصيل أجهزة NAS الخاصة بهم مباشرة بالشبكة بأنفسهم أو من خلال خدمة QuickConnect من Synology، والتي تتيح للمستخدمين الوصول إلى NAS الخاصة بهم عن بعد من أي مكان. وبمجرد عثور المهاجمين على Synology NAS متصل بالسحابة، يمكنهم بسهولة العثور على الآخرين بسبب طريقة تسجيل الأنظمة وتعيين المعرفات لها.
“هناك العديد من الأجهزة المتصلة بالسحابة الخاصة من خلال خدمة QuickConnect، ويمكن استغلالها أيضًا، لذلك حتى لو لم تعرضها مباشرة على الشبكة، فيمكنك استغلالها. [the devices] يقول ويتزلز: “مع هذه الخدمة، ومواردها تقدر بالملايين”.
وتمكن المحققون من تحديد أنظمة Synology NAS المرتبطة بالسحابة والمملوكة لأقسام الشرطة في الولايات المتحدة وفرنسا، بالإضافة إلى عدد كبير من مكاتب المحاماة الموجودة في الولايات المتحدة وكندا وفرنسا، ومشغلي ناقلات البضائع والنفط في أستراليا والجنوب. كوريا. حتى أنهم عثروا على من ينتمون إلى مقاولي الصيانة في كوريا الجنوبية وإيطاليا وكندا الذين يعملون في شبكات الكهرباء وفي الصناعات الدوائية والكيميائية.
ويشير ويتزلز إلى أن “هذه الشركات هي التي تحتفظ بسجلات الأعمال… الوثائق الإدارية، والوثائق الهندسية، وفي حالة شركات المحاماة، ربما ملفات القضايا”.
يقول الباحثون إن برامج الفدية وسرقة البيانات ليست هي المخاوف الوحيدة المتعلقة بهذه الأدوات، حيث يمكن للمهاجمين أيضًا تحويل التطبيقات الضعيفة إلى شبكات الروبوت لخدمة وإخفاء تطبيقات السرقة الأخرى، مثل الغش. شبكة الروبوتات الكبيرة التي هاكرز Volt Typhoon من الصين لقد قاموا ببناء أجهزة توجيه منزلية ومكاتب مصابة لإخفاء عمليات التجسس الخاصة بهم.
ولم تستجب شركة Synology لطلب التعليق، لكن موقع الشركة على الويب نشر اثنين نصائح أمنية المتعلقة بإصدار 25 أكتوبر، ووصف انعدام الأمن بأنه “كبير”. نصيحة، ذلك أكد أنه تم اكتشاف الثغرة الأمنية كجزء من Pwn2Own المنافسة، فإنه يدل على أن الشركة قد أفرجت عن أجزاء من الضعف. ومع ذلك، لا تتمتع أجهزة NAS الخاصة بـ Synology بالقدرة على التحديث تلقائيًا، ومن غير الواضح عدد العملاء الذين يعرفون التصحيح وقاموا بتطبيقه. عندما يتم إصدار التصحيح، فإنه يسهل أيضًا على المهاجمين تحديد نقاط الضعف من التصحيح واستغلال التصميم على الأجهزة المستهدفة.
“ليس من السهل العثور عليه [the vulnerability] “أنت وحدك، أنت مستقل،” يقول Meijer لـ WIRED، “ولكن من السهل جدًا العثور على النقاط وربطها عندما يتم إصدار التصحيح فعليًا وتغيير هذا التصحيح.”
