Synology DiskStation ManagerのVPNモジュールにハードコードされたパスワードの脆弱性が確認された。影響を受けるのはSynology DiskStation Manager 4.3-3810のアップデート1とそれ以前のバージョンで、ユーザのデフォルトパスワードがsynopassで、変更できなくなっている。そのパスワードを利用してRootとしてWebインターフェイス又はSSH経由でログインをすると認証に失敗するが、VPNサーバを有効にすると、root:synopassが認証されてVPN接続される。この脆弱性が悪用されると、認証されない攻撃者が遠隔からSynology DiskStation Managerに接続し、VPNサーバを使用してSynologyのデバイスや他のデバイスにアクセスし、ネットワークをシェアされる恐れがある。同社はSynology DiskStation Manager VPN module version 1.2-2317を公開しており、アップデートによりこの脆弱性は解消される。また、Synology DiskStation Managerの管理インターフェイスのOpenVPNモジュールを無効化することでこの脆弱性を軽減することができる。
