Odkryto poważną lukę w aplikacji Synology Active Backup for Microsoft 365 (ABM), umożliwiającą dostęp do danych Microsoft 365 w organizacjach korzystających z tego rozwiązania.
Błąd dotyczył globalnego klienta OAuth z szerokimi uprawnieniami, którego dane uwierzytelniające (client_secret) były nieprawidłowo wykorzystywane przez wszystkie instancje ABM.
Luka została zgłoszona przez firmę modzero i oznaczona jako CVE‑2025‑4679, z oceną CVSS 6.5 (poziom „umiarkowany”).
Potencjalnie narażonych było ponad milion organizacji korzystających z Active Backup.
Synology zarejestrowało jedną aplikację w Azure AD, której używają wszystkie instancje Active Backup for Microsoft 365. Ta aplikacja miała szerokie uprawnienia, m.in.:
Group.Read.All
ChannelMessage.Read.All
W czasie procesu konfiguracji aplikacja ABM przesyłała globalny client_secret, pozwalając każdemu atakującemu przechwycić ten sekret i wykorzystać go do odczytu danych z dowolnego tenant Microsoft 365, który zarejestrował tę aplikację.
Wystarczyło przechwycić jeden pakiet (np. przez proxy w sieci lokalnej), by uzyskać dostęp do danych – w tym wiadomości z kanałów prywatnych Teams.
Nazwa aplikacji: Active Backup for M365
ID aplikacji: b4f234da-3a1a-4f4d-a058-23ed08928904
Typ błędu: niewłaściwe współdzielenie klienta OAuth pomiędzy tenantami (shared client credentials).
Zagrożenie: możliwość użycia tokena do uwierzytelnienia wobec Microsoft Graph API i odczytu danych z wielu tenantów bez ich wiedzy.
Możliwość dostępu do danych bez wiedzy organizacji – w tym do poufnych treści przechowywanych w Microsoft Teams.
Ryzyko nadużyć, szpiegostwa korporacyjnego, a nawet przygotowania gruntu pod ataki ransomware.
Użytkownicy nie otrzymali żadnego alertu – brak logowania takich dostępów w Synology DSM.
Synology opublikowało ostrzeżenie bezpieczeństwa (Synology-SA-25:06), usuwając podatność w aktualizacji.
Opis CVE jest ogólnikowy, nie ujawnia rzeczywistej skali zagrożenia.
Firma nie udostępniła publicznie IOC (Indicators of Compromise), co utrudnia użytkownikom ocenę ryzyka.
| Dla kogo? | Zalecane działania |
|---|---|
| Użytkownicy ABM | – Zainstaluj najnowsze aktualizacje DSM i pakietu ABM – Usuń uprawnienia aplikacji b4f234da... w Azure AD– Przeanalizuj logi dostępu OAuth (Azure Sign-In Logs) |
| Administratorzy M365 | – Wymuś używanie aplikacji per-tenant – Ogranicz dostęp aplikacjom trzecim – Wdróż polityki Conditional Access |
| Dostawcy backupu | – Nie używaj globalnych sekretów OAuth – Przestrzegaj zasady least privilege – Zapewnij pełną transparentność komunikacji z klientami |
ID aplikacji w Azure: b4f234da-3a1a-4f4d-a058-23ed08928904
Przykładowy początek client_secret: ARI8Q~...
Nietypowe logowania z IP z Azji Wschodniej (np. 220.130.175.235, ASN AS3462 – Tajwan)
Błąd Synology pokazuje, jak łatwo wygoda może kolidować z bezpieczeństwem. Współdzielony sekret OAuth to błąd projektowy, który otworzył furtkę do danych tysięcy organizacji. Choć Synology szybko załatało problem, to komunikacja i przejrzystość pozostawiły wiele do życzenia.
➡️ Backup w chmurze czy na NAS? Odpowiedź brzmi: z rozsądkiem i kontrolą uprawnień.
Nowości w świecie storage i serwerów – na co zwrócić uwagę przy backupie i archiwizacji?…
Firma Synology ogłosiła na rynkach azjatyckich, a pewnie wkrótce w Polsce, wprowadzenie oczekiwanego serwera DS225+,…
Przyszłość przechowywania danych: najnowsze technologie i innowacje w backupie, NAS i serwerach W obliczu rosnącej…
Nowoczesne nośniki danych: co warto wiedzieć o backupie i storage w 2025 roku Rynek pamięci…
Nowości w świecie backupu i storage: bezpieczeństwo danych, nowe rozwiązania i partnerstwa Zarządzanie danymi, backup,…
Nowości ze świata backupu i storage: od chmur po rewolucyjne dyski SSD W dzisiejszej erze…