وقال الباحثون أيضًا إن تطبيق الصور، الذي يساعد المستخدمين على تنظيم الصور، يوفر سهولة الوصول سواء قام العملاء بتوصيل جهاز NAS الخاص بهم مباشرة بالإنترنت بأنفسهم أو من خلال خدمة QuickConnect من Synology، والتي تتيح للمستخدمين الوصول إلى NAS الخاص بهم عن بعد من أي مكان. وبمجرد أن يعثر المهاجمون على Synology NAS متصل بالسحابة، يمكنهم بسهولة تحديد مواقع الآخرين نظرًا للطريقة التي يتم بها تسجيل الأنظمة وتعيين المعرفات.
“هناك الكثير من هذه الأجهزة المتصلة بسحابة خاصة من خلال خدمة QuickConnect، وهي قابلة للاستغلال أيضًا، لذلك حتى إذا لم تعرضها مباشرة على الإنترنت، يمكنك استغلال (الأجهزة) من خلال هذا يقول ويتزلز: “الخدمة، وهذه الأجهزة في حدود الملايين”.
تمكن الباحثون من تحديد أنظمة Synology NAS المرتبطة بالسحابة والمملوكة لأقسام الشرطة في الولايات المتحدة وفرنسا، بالإضافة إلى عدد كبير من مكاتب المحاماة الموجودة في الولايات المتحدة وكندا وفرنسا، ومشغلي الشحن وصهاريج النفط في أستراليا و كوريا الجنوبية. حتى أنهم عثروا على شركات مملوكة لمقاولين صيانة في كوريا الجنوبية وإيطاليا وكندا يعملون في شبكات الطاقة وفي الصناعات الدوائية والكيميائية.
ويشير ويتزلز إلى أن “هذه هي الشركات التي تقوم بتخزين بيانات الشركات… وثائق الإدارة، والوثائق الهندسية، وفي حالة شركات المحاماة، ربما ملفات القضايا”.
يقول الباحثون إن برامج الفدية وسرقة البيانات ليست مصدر القلق الوحيد بشأن هذه الأجهزة، حيث يمكن للمهاجمين أيضًا تحويل الأنظمة المصابة إلى شبكة روبوت لخدمة وإخفاء عمليات القرصنة الأخرى، مثل شبكة الروبوتات الضخمة التي أنشأها قراصنة Volt Typhoon من الصين من المنازل المصابة وأجهزة التوجيه المكتبية لإخفاء عمليات التجسس الخاصة بهم.
لم تستجب شركة Synology لطلب التعليق، لكن موقع الشركة على الويب نشر تحذيرين أمنيين يتعلقان بالمشكلة في 25 أكتوبر، واصفين الثغرة الأمنية بأنها “حرجة”. وتشير التحذيرات، التي أكدت أنه تم اكتشاف الثغرة الأمنية كجزء من مسابقة Pwn2Own، إلى أن الشركة أصدرت تصحيحات للثغرة الأمنية. ومع ذلك، لا تتمتع أجهزة NAS الخاصة بـ Synology بإمكانية التحديث التلقائي، وليس من الواضح عدد العملاء الذين يعرفون عن التصحيح وقاموا بتطبيقه. مع إصدار التصحيح، فإنه يسهل أيضًا على المهاجمين اكتشاف الثغرة الأمنية من التصحيح وتصميم استغلال لاستهداف الأجهزة.
يقول ميجر لمجلة WIRED: “ليس من السهل اكتشاف (الثغرة الأمنية) بنفسك وبشكل مستقل، ولكن من السهل جدًا اكتشاف النقاط وربطها عندما يتم إصدار التصحيح فعليًا وإجراء هندسة عكسية للتصحيح”.
