En el evento Pwn2Own 2024 que tuvo lugar en Irlanda de la 22 a 25 de octubre de 2024, los equipos de hackers han logrado descubrir vulnerabilidades en los productos de varios editores y marcas, incluyendo Synology.

​

La nueva versión de DSM, DSM 7.2.2 Update 1, está directamente relacionada con las vulnerabilidades descubiertas en este evento. Esta es una actualización de seguridad que corrige 4 vulnerabilidades diferentes. En su boletín de seguridad, Synology asoció la severidad crítica con esta nueva actualización.

​

Las referencias de CVE no están indicadas, probablemente porque todavía no están asignadas, pero esto es lo que sabemos sobre estas vulnerabilidades:

​

• ZDI-CAN-25403 'DI-CAN-25403': permite a los atacantes remotos ejecutar un código arbitrario.

• ZDI-CAN-25487 'DI-CAN-25487': permite a un atacante del tipo hombre en medio obtener sesiones de administración.

• 'DI-CAN-25613: permite a los atacantes remotos leer archivos específicos.

• zDI-CAN-25617: permite a un atacante adyacente del tipo hombre-en-medio para escribir archivos específicos.

Sobre el papel, estos defectos de seguridad parecen peligrosos. Uno de ellos se refiere sin duda a la falla de seguridad descubierta por Ryan Emmons y Stephen Fewer del equipo Rapid7, lo que permite obtener los privilegios de "raíz" en un NAS de Synology.