はじめに: Synology BeeStationに新たなroot権限昇昇格の脅威
Pwn2Own Ireland 2025の準備中に、セキュリティ研究者がSynology NASのN-dayバグを再調査した結果、Synology BeeStation (BST150-4T)に対する新たな強力なエクスプロイトチェーンが明らかになりました。この攻撃は、従来のPHPベースのペイロードではなく、**システムのタスクスケジューラを悪用することで、認証なしでのrootリモートコード実行 (RCE) を達成**しています。
この研究は、Pwn2Own 2024でDEVCOREのPumpkin氏とOrange Tsai氏によって公開され、その後「Writing Sync, Reading Shell」で詳細が示されたBeeStationのチェーンを基に構築されています。研究者は、パッチがリリースされた後に独立したN-day分析を実施し、コアバグ自体は公になっていたものの、特にSQLiteインジェクションの武器化において、そのエクスプロイトパスが大きく異なっていることに気づきました。
脆弱性チェーンの概要
このチェーンは、Synology DSM、BeeStation Manager (BSM)、およびSynology Drive Serverに影響を与える以下の3つの脆弱性を組み合わせています:
- CVE-2024-50629
- CVE-2024-50630
- CVE-2024-50631
これらの脆弱性を連鎖させることで、認証されていない攻撃者が**事前認証のファイル読み取り**から**条件付き認証バイパス**、そして最終的に**認証後のSQLインジェクション**へとエスカレートし、rootレベルのコード実行を実現します。
各脆弱性の詳細
CVE-2024-50629 (CRLFインジェクション)
この脆弱性は、SYNO.API.Auth.RedirectURIハンドラのredirect_urlパラメータにおけるCRLF (キャリッジリターンとラインフィード) インジェクションです。攻撃者は、このパラメータに改行文字を注入することで、任意のHTTPヘッダーをレスポンスに挿入できます。nginxのX-Accel-Redirectを悪用することにより、これを内部ファイル読み取りプリミティブとして利用し、Synology Driveのログなどから有効なユーザー名を特定することが可能です。
CVE-2024-50630 (不適切な認証)
syncd (Synology Drive Serverパッケージ) に存在する不適切な認証の欠陥です。AuthenticatorMiddleware::AuthSessionが認証メソッドの優先順位を付けるため、ローカル (Unixドメインソケット) コンテキストでパスワードを省略し、ユーザー名のみを提供すると、認証フローがドメインソケットベースの信頼パスにフォールスルーします。これにより、パスワードなしでaccess_tokenが取得され、通常の資格情報チェックが効果的にバイパスされます。
CVE-2024-50631 (SQLインジェクション)
Synology Drive Serverのupdate_settingsコマンドに存在するSQLインジェクション脆弱性です。
画期的なroot権限取得手法: PHPなしの環境でのcron悪用
従来、攻撃者はSQLiteインジェクションを利用して「ダーティファイル書き込み」を行い、ATTACH DATABASE経由でPHPウェブシェルをドロップしていました。しかし、BeeStationにはPHPが搭載されていないため、異なるアプローチが必要でした。
今回、研究者は革新的な普遍的技術を導入しました。それは、SQLiteのファイル書き込みプリミティブを使用して、/etc/cron.d/下に**悪意のあるcronファイルを作成する**というものです。cronは不正な行を許容し、バイナリゴミをスキップする性質があるため、改行で囲まれた有効なcrontabエントリをSQLiteのバイナリヘッダーと共存させることが可能です。注入された行は、**root権限でリバースシェルをスケジュール**し、攻撃者にPHPに依存することなく完全なシステム侵害をもたらします。
影響と対策
脆弱なBeeStationデバイスで認証なしのRCEを実証する概念実証エクスプロイトが公開されています。Synologyは、アドバイザリSynology-SA-24:20およびSynology-SA-24:21で既にパッチをリリースしています。ユーザーは、**DSM、BeeStationファームウェア、およびSynology Drive Serverを最新バージョンに更新することが強く推奨**されます。
この研究は、Synologyユーザーへの直接的な影響だけでなく、「低深刻度」のプリミティブが連鎖した場合の強力な影響力を示唆しています。また、PHPが存在しないLinux環境における、cronを悪用したSQLiteダーティファイル書き込みが、広範に応用可能なRCE技術であることを示しています。