Resilio (antes BitTorrent Sync) ofrece soluciones de gran alcance utilizando su software de nube privado único construido sobre la tecnología bittorrent. Durante más de 15 años, BitTorrent ha sido la tecnología líder para transmitir archivos grandes a través de Internet. BitTorrent Sync fue el primer producto del mundo en aprovechar este potente protocolo con fines comerciales y Resilio se expande en esta misión.
Para una amplia gama de aplicaciones, como la colaboración de archivos grandes, la sincronización de archivos, la sincronización de carpetas, la copia de seguridad automatizada y el envío de archivos grandes de forma más rápida y segura, Resilio ofrece la solución de nube privada líder y más rápida en la que confían millones de consumidores y miles de empresas en todo el mundo.
El cliente de Resilio Sync para Synology NAS sufre una vulnerabilidad que permite a usuarios remotos conectarse al NAS con privilegios de administrador.
La vulnerabilidad se debe al proceso de instalación del paquete, en el que el script de instalación añade un usuario con privilegios de administrador y password fijo. Las lineas donde sucede son las siguientes:
synouser --add x " user" 0 "" ""
synogroup --member administrators > /dev/null 2>&1
La vulnerabilidad ha sido confirmada en la versión 2.4.4, pero otras versiones pueden estar también afectadas. El código CVE asignado es CVE-2017-7270.
El fabricante fue notificado y la vulnerabilidad cerrada en la versión 2.5.5.
Los servidores vulnerables que exponen sus interfaces en Internet podrían ser accedidos de manera remota con privilegios de administrador usando el usuario rslsync con contraseña 'x'.
Estamos orgullosos de anunciar esta vulnerabilidad como la primera vulnerabilidad pública descubierta por el nuevo equipo de jtsec.