Odkryto poważną lukę w aplikacji Synology Active Backup for Microsoft 365 (ABM), umożliwiającą dostęp do danych Microsoft 365 w organizacjach korzystających z tego rozwiązania.
Błąd dotyczył globalnego klienta OAuth z szerokimi uprawnieniami, którego dane uwierzytelniające (client_secret) były nieprawidłowo wykorzystywane przez wszystkie instancje ABM.
Luka została zgłoszona przez firmę modzero i oznaczona jako CVE‑2025‑4679, z oceną CVSS 6.5 (poziom „umiarkowany”).
Potencjalnie narażonych było ponad milion organizacji korzystających z Active Backup.
Synology zarejestrowało jedną aplikację w Azure AD, której używają wszystkie instancje Active Backup for Microsoft 365. Ta aplikacja miała szerokie uprawnienia, m.in.:
Group.Read.All
ChannelMessage.Read.All
W czasie procesu konfiguracji aplikacja ABM przesyłała globalny client_secret, pozwalając każdemu atakującemu przechwycić ten sekret i wykorzystać go do odczytu danych z dowolnego tenant Microsoft 365, który zarejestrował tę aplikację.
Wystarczyło przechwycić jeden pakiet (np. przez proxy w sieci lokalnej), by uzyskać dostęp do danych – w tym wiadomości z kanałów prywatnych Teams.
Nazwa aplikacji: Active Backup for M365
ID aplikacji: b4f234da-3a1a-4f4d-a058-23ed08928904
Typ błędu: niewłaściwe współdzielenie klienta OAuth pomiędzy tenantami (shared client credentials).
Zagrożenie: możliwość użycia tokena do uwierzytelnienia wobec Microsoft Graph API i odczytu danych z wielu tenantów bez ich wiedzy.
Możliwość dostępu do danych bez wiedzy organizacji – w tym do poufnych treści przechowywanych w Microsoft Teams.
Ryzyko nadużyć, szpiegostwa korporacyjnego, a nawet przygotowania gruntu pod ataki ransomware.
Użytkownicy nie otrzymali żadnego alertu – brak logowania takich dostępów w Synology DSM.
Synology opublikowało ostrzeżenie bezpieczeństwa (Synology-SA-25:06), usuwając podatność w aktualizacji.
Opis CVE jest ogólnikowy, nie ujawnia rzeczywistej skali zagrożenia.
Firma nie udostępniła publicznie IOC (Indicators of Compromise), co utrudnia użytkownikom ocenę ryzyka.
| Dla kogo? | Zalecane działania |
|---|---|
| Użytkownicy ABM | – Zainstaluj najnowsze aktualizacje DSM i pakietu ABM – Usuń uprawnienia aplikacji b4f234da... w Azure AD– Przeanalizuj logi dostępu OAuth (Azure Sign-In Logs) |
| Administratorzy M365 | – Wymuś używanie aplikacji per-tenant – Ogranicz dostęp aplikacjom trzecim – Wdróż polityki Conditional Access |
| Dostawcy backupu | – Nie używaj globalnych sekretów OAuth – Przestrzegaj zasady least privilege – Zapewnij pełną transparentność komunikacji z klientami |
ID aplikacji w Azure: b4f234da-3a1a-4f4d-a058-23ed08928904
Przykładowy początek client_secret: ARI8Q~...
Nietypowe logowania z IP z Azji Wschodniej (np. 220.130.175.235, ASN AS3462 – Tajwan)
Błąd Synology pokazuje, jak łatwo wygoda może kolidować z bezpieczeństwem. Współdzielony sekret OAuth to błąd projektowy, który otworzył furtkę do danych tysięcy organizacji. Choć Synology szybko załatało problem, to komunikacja i przejrzystość pozostawiły wiele do życzenia.
➡️ Backup w chmurze czy na NAS? Odpowiedź brzmi: z rozsądkiem i kontrolą uprawnień.
Tajpej, Tajwan, sierpnia 21, 2025 – QNAP® Systems, Inc., czołowy innowator w dziedzinie rozwiązań obliczeniowych, sieciowych…
Tajpej, Tajwan, sierpnia 18, 2025 – QNAP® Systems, Inc., wiodący innowator w dziedzinie rozwiązań obliczeniowych, sieciowych…
Najnowsze trendy w backupie i archiwizacji danych – co słychać w świecie pamięci masowej? Dynamiczny…
Proxmox Backup Server 4.0 – Nowy wymiar kopii zapasowej z obsługą S3 i dynamicznym RAIZD…
Nowości ze świata storage: Rewolucje w SSD, AI i backupie danych Branża storage nie zwalnia…
Nowości ze świata technologii: Backup, storage i serwery w obliczu rewolucji sprzętowej Technologie związane z…