Ένα κρίσιμο θέμα ευπάθειας ασφαλείας ανακαλύφθηκε στο λογισμικό δημιουργίας αντιγράφων ασφαλείας και συγχρονισμού ASUSTOR, το οποίο επιτρέπει στους εισβολείς να εκτελούν κακόβουλο κώδικα με αυξημένα δικαιώματα συστήματος.
Το ελάττωμα, που εντοπίζεται ως CVE-2025-13051, επηρεάζει δύο ευρέως χρησιμοποιούμενες εφαρμογές ASUSTOR και ενέχει σημαντικό κίνδυνο για τους χρήστες που εκτελούν παλιές εκδόσεις.
Η ευπάθεια κατά της πειρατείας DLL
Η ευπάθεια προέρχεται από μια αδυναμία παραβίασης DLL που εμφανίζεται όταν οι υπηρεσίες ASUSTOR Backup Plan (ABP) και ASUSTOR EZSync (AES) εγκαθίστανται σε καταλόγους προσβάσιμους σε μη διαχειριστικούς χρήστες.
Οι εισβολείς μπορούν να εκμεταλλευτούν αυτό το ελάττωμα αντικαθιστώντας τα νόμιμα αρχεία βιβλιοθήκης δυναμικής σύνδεσης (DLL) με κακόβουλες εκδόσεις που μοιράζονται το ίδιο όνομα αρχείου με αυτά που φορτώνονται από την υπηρεσία.
Κατά την επανεκκίνηση της επηρεαζόμενης υπηρεσίας, το κακόβουλο DLL φορτώνεται και εκτελείται αυτόματα.
| Πεδίο | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-13051 |
| Αυστηρότητα | Κρίσιμος |
| Βαθμολογία CVSS 4.0 | 9.3 |
| Διάνυσμα επίθεσης | Τοπικός |
| Προϊόντα που επηρεάζονται | ABP ≤2.0.7.9050, AES ≤1.0.6.8290 |
Κάτω από τον λογαριασμό LocalSystem, παραχώρηση στους εισβολείς μη εξουσιοδοτημένης εκτέλεσης κώδικα με το υψηλότερο επίπεδο προνομίων συστήματος.
Αυτός ο τύπος επίθεσης μπορεί να οδηγήσει σε πλήρη παραβίαση του συστήματος, επιτρέποντας στους παράγοντες απειλής να εγκαταστήσουν κακόβουλο λογισμικό, να κλέψουν ευαίσθητα δεδομένα ή να δημιουργήσουν συνεχή πρόσβαση σε κερκόπορτα.
Το σφάλμα επηρεάζει την έκδοση ABP 2.0.7.9050 και όλες τις παλαιότερες εκδόσεις, καθώς και την έκδοση AES 1.0.6.8290 και όλες τις προηγούμενες εκδόσεις.
Η ASUSTOR έχει απελευθερώθηκε ενημερώσεις κώδικα ασφαλείας για την αντιμετώπιση αυτού του κρίσιμου ελάττωμα. Οι χρήστες θα πρέπει να αναβαθμίσουν αμέσως στην έκδοση ABP 2.0.7.10171 ή μεταγενέστερη και στην έκδοση AES 1.1.0.10312 ή μεταγενέστερη, για να προστατεύσουν τα συστήματά τους από πιθανή εκμετάλλευση.
