Il 15 luglio 2026 Trend Micro ha reso pubblico l'advisory ZDI-26-423 su una vulnerabilità pre-autenticazione nel componente MailPlus Redis di Synology DiskStation DS925+. La falla consente esecuzione remota di codice arbitrario con privilegi root a utenti non autenticati in posizione network-adjacent, sfruttando una crittografia debole nella memorizzazione delle credenziali. Il vendor ha rilasciato un aggiornamento correttivo, ma l'intervallo di circa 7 mesi e 11 giorni tra segnalazione e disclosure lascia spazio a valutazioni sulla gestione della finestra di esposizione.
- La vulnerabilità ZDI-26-423 interessa specificamente Synology DiskStation DS925+ nel componente MailPlus Redis
- Le password sono cifrate in formato recoverable anziché con hashing one-way robusto, permettendo il recupero delle credenziali
- L'esecuzione di codice avviene nel contesto di root senza richiedere autenticazione, con requisito di posizione network-adjacent
- Synology ha corretto la falla; il CVE associato CVE-2025-15660 è in stato reserved senza dettagli aggiuntivi
Il meccanismo: perché una password debole diventa RCE
Il nucleo della falla non è una vulnerabilità nel codice di Redis in sé, ma nella configurazione specifica dell'istanza MailPlus Redis su DS925+. Secondo l'advisory ZDI, il processo di memorizzazione delle password utilizza una crittografia reversibile piuttosto che un algoritmo di hashing progettato per resistere alla decrittazione. Questa scelta architetturale trasforma le credenziali da ostacolo a ponte per l'attaccante.
Un attore in posizione network-adjacent — tipicamente sulla stessa rete locale o in segmenti con accesso diretto al dispositivo — può estrarre le password e riutilizzarle per ottenere esecuzione di codice nel contesto di root. La posizione network-adjacent differisce dall'esposizione WAN: non implica necessariamente accessibilità da Internet, ma richiede prossimità di rete che in ambienti aziendali o domestici complessi può essere ottenuta con tecniche di movimento laterale.
Il privilegio di root significa che ogni operazione successiva all'accesso iniziale avviene con i massimi diritti sul sistema operativo del NAS. Il dispositivo perde ogni capacità di isolamento o controllo delle risorse: filesystem, configurazioni di rete, servizi ausiliari e dati utente sono tutti accessibili senza ulteriori escalation.
La timeline: dalla segnalazione alla disclosure
La vulnerabilità è stata riportata a Synology il 4 dicembre 2025. La pubblicazione coordinata è avvenuta il 15 luglio 2026, con un intervallo di circa 7 mesi e 11 giorni. Questa finestra temporale riflette le pratiche standard di coordinated disclosure, ma solleva questioni sulla gestione delle patch in un dispositivo di storage perimetrale che spesso funge da repository di backup critico.
L'advisory ZDI non specifica il ricercatore che ha scoperto la falla né fornisce dettagli sulle versioni firmware interessate. Il CVE-2025-15660 associato è in stato reserved presso MITRE e non offre informazioni verificabili aggiuntive rispetto all'advisory primario. L'assenza di CVSS score e vector nell'advisory ZDI impedisce una classificazione numerica standard della severità, anche se la combinazione di RCE, privilegi root e assenza di autenticazione colloca la falla in fascia critica per qualsiasi valutazione qualitativa.
Perché il NAS è un bersaglio atipico ma prezioso
I dispositivi NAS come il DS925+ occupano una posizione ambigua nel perimetro di sicurezza: non sono server tradizionali con team dedicati di amministrazione, ma nemmeno endpoint utente con superficie ridotta. Spesso ospitano backup completi, archivi documentali e, nel caso di MailPlus, sistemi di posta elettronica aziendale. La compromissione root di un NAS equivale all'esfiltrazione totale o alla distruzione dei dati primari e di backup in un'unica operazione.
Il componente Redis, pur essendo un servizio ausiliario rispetto alle funzionalità di storage principali, diviene qui il vettore di ingresso. Questo schema si ripete in modo preoccupante nel panorama dei dispositivi edge enterprise: componenti third-party integrati con configurazioni crittografiche superficiali trasformano funzionalità secondarie in fattori di rischio primari. La fiducia implicita che gli amministratori ripongono nei dispositivi "chiusi" e gestiti via interfaccia web si scontra con la realtà di stack software complessi dove ogni strato aggiunge superficie d'attacco.
"Questa vulnerabilità consente a utenti network-adjacent di eseguire codice arbitrario su installazioni affette di dispositivi Synology DiskStation DS925+. L'autenticazione non è richiesta per sfruttare questa vulnerabilità."
Cosa sappiamo e cosa manca
L'advisory ZDI documenta con precisione il meccanismo tecnico, i requisiti di attacco e l'esistenza di una patch, ma lascia significative aree in ombra. La fonte non specifica le versioni firmware interessate, rendendo impossibile identificare i dispositivi vulnerabili per build anziché per modello. Non emerge alcun dato su exploit in-the-wild o campagne di attacco attive, ma questa assenza di evidenza non equivale a prova di assenza.
L'URL della patch indicato nell'advisory punta al documento ZDI stesso, non a una pagina di download Synology specifica. Il dossier non documenta istruzioni di aggiornamento, procedure di verifica post-patch o indicatori di compromissione. L'identità del ricercatore non è menzionata, né sono forniti dettagli sul contesto di scoperta o sulle circostanze che hanno portato alla segnalazione.
Perché è importante
La vulnerabilità ZDI-26-423 esemplifica un pattern sistemico: la sicurezza dei dispositivi edge enterprise dipende dalla qualità crittografica di componenti che gli utenti finali non selezionano, non configurano e spesso non conoscono. Quando un'istanza Redis interna gestisce password in formato recoverable, il problema non è solo tecnico ma progettuale — una scelta architetturale che sacrifica la resistenza alla compromissione per presunte esigenze operative.
Il DS925+ è posizionato come dispositivo professionale e semi-aziendale. La sua compromissione root pre-autenticazione mette a rischio non solo i dati in esso contenuti, ma l'integrità dell'infrastruttura di rete a cui è collegato. In ambienti dove il NAS funge da server di backup per endpoint e servizi cloud, la lateralizzazione da questo dispositivo può propagare l'accesso in modo esponenziale.
La fonte non specifica se altri modelli Synology condividano la stessa configurazione di MailPlus Redis, né se la correzione apportata per DS925+ sia stata estesa a prodotti correlati. Questa informazione rimane da verificare presso il vendor. Il dossier non documenta inoltre se la patch introduca breaking changes o requisiti di migrazione per utenti con configurazioni custom di MailPlus.
L'assenza di CVSS score e vector nell'advisory primario impedisce confronti immediati con altre vulnerabilità dello stesso periodo, ma non attenua la criticità intrinseca della combinazione RCE-root-pre-auth. Per gli amministratori, la metrica rilevante è la facilità di sfruttamento in relazione al valore del bersaglio — e su questo piano il NAS di backup rappresenta un rapporto rischio/danno particolarmente sfavorevole.
Fonti
- http://www.zerodayinitiative.com/advisories/ZDI-26-423/
- https://www.cve.org/CVERecord?id=CVE-2025-15660
- http://www.zerodayinitiative.com/advisories/upcoming/
- https://www.trendmicro.com/
- https://www.trendmicro.com/en_us/business/products/one-platform.html
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.