В конце июня 2025 года исследователи кибербезопасности обнаружили критическую уязвимость в популярном решении для резервного копирования данных в облаке - Synology Active Backup for Microsoft 365 (ABM). Оказалось, что из-за ошибки в процессе настройки сервиса злоумышленники могли получить доступ к конфиденциальным данным тысяч организаций, включая переписку в Microsoft Teams и содержимое групп. Уязвимость получила идентификатор CVE-2025-4679 и была оперативно устранена после ответственного раскрытия, однако её последствия вызывают серьёзные опасения у экспертов по безопасности.
Описание
В ходе тестирования системы специалисты выявили, что промежуточное ПО Synology (SynoOauth) во время настройки резервного копирования передавало в открытом виде секретный ключ приложения. Этот ключ принадлежал глобальной регистрации ABM в облаке Microsoft и позволял аутентифицироваться в любом клиентском тенанте, где был установлен данный сервис. Учитывая, что ABM запрашивает широкие права доступа (включая возможность читать все сообщения в Teams и данные групп), злоумышленник, получивший этот ключ, мог беспрепятственно собирать конфиденциальную информацию без необходимости взламывать учётные записи.
Уязвимость была особенно опасна из-за масштабов распространения Synology ABM - на момент обнаружения решение использовали более 1,2 миллиона организаций. Это создавало угрозу для корпоративных данных, включая возможные утечки переписок, файлов и другой конфиденциальной информации. Исследователи отмечают, что атака не требовала сложных инструментов - достаточно было перехватить ключ во время настройки резервного копирования или обнаружить его в сетевом трафике.
Synology оперативно отреагировала на сообщение об уязвимости, выпустив патч, однако разногласия возникли в оценке её критичности. Компания присвоила уязвимости средний уровень опасности (CVSS 6.5), тогда как независимые исследователи настаивали на высокой степени угрозы (CVSS 8.6). Основное расхождение заключалось в трактовке необходимых привилегий для эксплуатации уязвимости: Synology считала, что атакующему нужен хотя бы минимальный доступ, в то время как на практике ключ мог быть перехвачен даже без взлома каких-либо систем.
Этот инцидент в очередной раз подчеркивает риски, связанные с интеграцией облачных сервисов и сторонних решений. Организации, доверяющие провайдерам резервного копирования, часто не задумываются о том, что сами становятся уязвимыми из-за ошибок в чужом коде. В данном случае один неверно обработанный HTTP-запрос превратил инструмент для защиты данных в потенциальный канал утечки.
Эксперты рекомендуют компаниям, использующим ABM, проверить журналы активности Microsoft Entra на предмет подозрительных входов с IP-адресов, не связанных с их инфраструктурой. Также следует внимательно изучить разрешения, выданные приложениям Synology, и при необходимости ограничить их в соответствии с принципом минимальных привилегий.
Случай с Synology ABM - не первый и не последний пример того, как облачные сервисы могут стать слабым звеном в защите данных. Растущая сложность IT-экосистем требует от организаций более тщательного контроля за интеграциями и постоянного аудита доступа сторонних решений. Как показала эта история, даже инструменты, созданные для защиты информации, могут стать её ахиллесовой пятой, если разработчики допускают ошибки в реализации безопасности.
Индикаторы компрометации
IPv4
- 220.130.175.235