隨著雲端技術的普及,越來越多企業依賴第三方應用程式來管理數據備份與存取。然而,這些解決方案的便利性往往伴隨著潛在的安全風險。近期,知名安全研究團隊 modzero 發現,Synology 開發的「Synology Active Backup for Microsoft 365」(ABM) 存在一項嚴重漏洞,可能導致未經授權者得以存取企業的 Microsoft 365 數據。
在現代企業中,雲端應用程式的便利性無庸置疑,而 Synology 的「Active Backup for Microsoft 365」(以下簡稱 ABM)便是此類應用程式中的佼佼者。然而,modzero 的研究揭露了一項重大安全漏洞,讓這款應用程式成為未授權存取企業數據的隱患。在一次針對某客戶進行的紅隊測試中,modzero 的研究團隊注意到 ABM 的應用程式,由於該應用程式擁有對 Microsoft Teams 頻道訊息及群組數據的廣泛讀取權限,成為潛在攻擊目標。為進一步分析,研究團隊建立了實驗室環境並在虛擬化的 Synology DiskStation Manager (DSM) 作業系統中安裝 ABM,讓研究人員得以模擬應用程式的運作。最終,他們發現 ABM 的 Synology 中介服務(SynoOauth)在安裝過程中暴露了一組重要的應用程式憑證(client secret)。這些憑證的意外洩露使得任何人都能夠未經授權地存取使用 ABM 的企業 Microsoft 訂戶數據,從而造成嚴重的安全風險。
ABM 的設置過程包括透過 Microsoft OAuth 認證來連結用戶的 Microsoft 訂戶。然而,在此過程中,Synology 的 SynoOauth 中介服務將應用程式憑證直接包含於 HTTP 回應的重定向位置標頭中。這意味著憑證被公開暴露於網路流量中,任何攔截到這些數據的攻擊者都可以利用這些憑證獲取組織的敏感數據。研究人員進一步測試了這些憑證的有效性,結果顯示它們不僅僅適用於單一訂戶,而是屬於 Synology 的全球應用程式註冊,這使得攻擊範圍擴展至所有使用 ABM 的組織。研究顯示攻擊者可以使用這些憑證存取 Microsoft Graph API,進一步獲取 Microsoft Teams 的頻道訊息、群組數據等雲端服務內容。
這一漏洞的影響範圍極其廣泛,特別是 ABM 擁有超過 120 萬次的安裝量。其潛在影響包括:
- 攻擊者能夠未經授權地讀取企業內部的所有 Microsoft Teams 頻道訊息。
- 攻擊者可能利用獲得的數據進行社交工程攻擊、勒索軟體部署,甚至將敏感數據出售於黑市。
- 由於漏洞的存在,攻擊者甚至無需具備對目標租戶的任何初始權限便能夠實現攻擊。
modzero 提到,這種供應鏈層級的安全問題正成為現代雲端應用中的一大挑戰。
在 modzero 的負責披露過程中,他們於 2025 年 4 月將這一漏洞通報給 Synology,並請求分配 CVE 編號。然而,雙方在漏洞嚴重性評估上存在分歧,Synology 最終將漏洞的 CVSS 評分定為 6.5(中等),而非 modzero 提議的 8.6(高)。此外,Synology 的公告中對漏洞的描述過於模糊,僅提到「經身份驗證的遠端攻擊者可透過未指定的向量獲取敏感信息」,未能清楚說明漏洞的真正範圍。對於廠商而言,Synology 的案例表明,透明地披露漏洞及通知受影響用戶是至關重要的。供應商應該主動提供指標(IoC)幫助客戶檢測潛在的入侵行為,並採取措施減少供應鏈漏洞帶來的風險。
