Synology heeft twee kritieke kwetsbaarheden verholpen waardoor NAS-apparaten op afstand zijn over te nemen. De beveiligingslekken werden vorige week tijdens de Pwn2Own-hackwedstrijd in Ierland gedemonstreerd. Tijdens de wedstrijd worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten en software.

Tijdens de editie in Ierland waren onder andere NAS-apparaten van QNAP, Synology en TrueNAS het doelwit van deelnemende onderzoekers. Het lukte meerdere onderzoekers om NAS-systemen van de drie fabrikanten te compromitteren. Eerder kwam QNAP al voor een gedemonstreerde kwetsbaarheid met een beveiligingsupdate. Ook Synology is met patch gekomen om twee beveiligingslekken te verhelpen.

De eerste kritieke kwetsbaarheid bevindt zich in Synology Photos 1.6 en 1.7 voor DSM 7.2. Synology Photos maakt het mogelijk om fotoalbums op de NAS aan te maken en met anderen te delen. Gebruikers moeten de applicatie zelf op hun NAS installeren. DiskStation Manager (DSM) is het besturingssysteem dat op NAS-apparaten van Synology draait. Het tweede kritieke beveiligingslek is verholpen in BeePhotos voor BeeStation OS 1.0 en 1.1. BeePhotos is een app voor het maken van foto's op een BeeStation NAS. TrueNAS moet nog met beveiligingsupdates voor de gedemonstreerde kwetsbaarheden komen.