Explotación de Synology DiskStation con escrituras de byte nulo

En octubre, asistimos a Pwn2Own Ireland 2024 y explotamos con éxito el Synology DiskStation DS1823xs+ para obtener la ejecución remota de código como root. Este problema se ha corregido como CVE-2024-10442. El DiskStation es una popular línea de productos NAS de Synology. Ha sido explotado con éxito unas cuantas veces en eventos Pwn2Own en el pasado, aunque permaneció intacto en el evento del año anterior. En Irlanda 2024 se produjeron tres ataques con éxito, todos ellos mediante bugs únicos.