Os pesquisadores também disseram que o aplicativo de fotos, que ajuda os usuários a organizar fotos, forneceu fácil acesso, independentemente de os clientes conectarem seu dispositivo NAS diretamente à internet ou através do serviço QuickConnect da Synology, que permite aos usuários acessar seu NAS remotamente de qualquer lugar. E uma vez que os atacantes encontram um Synology NAS conectado à nuvem, eles podem facilmente localizar outros devido à forma como os sistemas são registrados e recebem IDs.
“Existem muitos desses dispositivos conectados a uma nuvem privada através do serviço QuickConnect, e esses também são exploráveis, então mesmo que você não o exponha diretamente à internet, você pode explorar [os dispositivos] através deste serviço, e isso são dispositivos na ordem de milhões”, diz Wetzels.
Os pesquisadores conseguiram identificar NASes Synology conectados à nuvem pertencentes a departamentos de polícia nos Estados Unidos e na França, bem como um grande número de escritórios de advocacia baseados nos EUA, Canadá e França, e operadores de frete e petróleo na Austrália e na Coreia do Sul. Eles até encontraram aqueles pertencentes a contratantes de manutenção na Coreia do Sul, Itália e Canadá que trabalham em redes elétricas e nas indústrias farmacêutica e química.
“Essas são empresas que armazenam dados corporativos … documentos de gestão, documentos de engenharia e, no caso de escritórios de advocacia, talvez arquivos de casos”, observa Wetzels.
Os pesquisadores dizem que ransomware e roubo de dados não são a única preocupação com esses dispositivos—os atacantes também poderiam transformar sistemas infectados em um botnet para servir e ocultar outras operações de hacking, como um enorme botnet que os hackers Volt Typhoon da China construíram a partir de roteadores domésticos e de escritório infectados para ocultar suas operações de espionagem.
A Synology não respondeu a um pedido de comentário, mas o site da empresa publicou dois avisos de segurança relacionados ao problema em 25 de outubro, chamando a vulnerabilidade de “crítica”. Os avisos, que confirmaram que a vulnerabilidade foi descoberta como parte do concurso Pwn2Own, indicam que a empresa lançou patches para a vulnerabilidade. No entanto, os dispositivos NAS da Synology não têm capacidade de atualização automática, e não está claro quantos clientes conhecem o patch e o aplicaram. Com o patch lançado, também fica mais fácil para os atacantes agora descobrir a vulnerabilidade a partir do patch e projetar um exploit para direcionar os dispositivos.
“Não é trivial encontrar [a vulnerabilidade] por conta própria, independentemente”, diz Meijer à WIRED, “mas é bastante fácil descobrir e conectar os pontos quando o patch é realmente lançado e você faz a engenharia reversa do patch.”