Synology : les systèmes DSM et SRM affectés par une faille dans Netatalk
Synology a publié un nouveau bulletin de sécurité au sujet de vulnérabilités critiques qui affectent Netatalk, aussi bien sur les NAS que les routeurs de la marque puisque les systèmes DSM et SRM sont concernés. Faisons le point.
Dans son bulletin de sécurité, Synology précise : "De multiples vulnérabilités permettent à des attaquants distants d'obtenir des informations sensibles et éventuellement d'exécuter du code arbitraire grâce à une version vulnérable de Synology DiskStation Manager (DSM) et Synology Router Manager (SRM).".
DSM et SRM : Quelles sont les versions affectées ?
Pour être plus précis quant aux versions affectées et pour faire simple, il n'y a que la toute dernière version de DSM, à savoir DSM 7.1-42661-1 qui permet d'être protégé. Pour les autres versions de DSM et SRM, il faut patienter en attendant qu'un correctif soit disponible.
En termes de timing, Synology publie généralement les correctifs sous 90 jours une fois que le bulletin de sécurité est mis en ligne. Actuellement, les développeurs de Netatalk ont déjà mis en ligne des correctifs de sécurité donc cela pourrait être assez rapide, en fonction de la réactivité de Synology.
Récemment, QNAP a également publié un bulletin de sécurité pour ces mêmes vulnérabilités dans Netatalk, en demandant aux utilisateurs de désactiver le protocole AFP de leur NAS, en attendant que ce soit patché (ce qui est facile si l'on n'utilise pas ce service). On peut imaginer, et c'est légitime, que la même recommandation s'applique aux NAS Synology.
L'occasion pour moi de rappeler que pour bien sécuriser un NAS, c'est important de désactiver les services que vous n'utilisez pas ! D'ailleurs, j'ai évoqué ce sujet au sein de mon cours et de ma vidéo sur la sécurisation d'un NAS Synology.
Quelques précisions sur Netatalk et AFP
Sur les NAS, le service de fichiers AFP est généralement pris en charge, afin de permettre le partage de fichiers avec les systèmes Apple, car l'AFP pour Apple Filing Protocol est le partage de fichiers pris en charge nativement par Mac.
Afin d'implémenter ce service sur un système tiers, en l'occurrence ici sur des NAS qui utilisent un système basé sur Linux, il faut s'appuyer sur Netatalk qui est une implémentation open source du protocole AFP. C'est un peu comme le paquet Samba qui permet de mettre en place un partage de fichiers SMB sous Linux, et sur lequel s'appuient les NAS également.
Concernant les vulnérabilités dont on parle ici, l'équipe de développement de Netatalk les a corrigées à l'occasion de la sortie de la version 3.1.1, publiée le 22 mars. Cela correspond à un délai de trois mois après la compétition de hacking Pwn2Own 2021, où elles ont été divulguées et exploitées pour la première fois. D'ailleurs, lors de cette compétition, ils ont fait une démonstration sur un NAS Western Digital équipé du système My Cloud OS, où ils ont pu exécuter du code arbitraire sur l'appareil sans être authentifiés.
