Uma falha crítica em dois aplicativos da ASUSTOR permite que invasores obtenham execução de código com privilégios elevados ao explorar um mecanismo de DLL hijacking.
Descoberta e escopo
Foi divulgado que a vulnerabilidade, rastreada como CVE-2025-13051, afeta o ASUSTOR Backup Plan (ABP) e o ASUSTOR EZSync (AES). Segundo o advisory, o problema decorre de um DLL hijacking que ocorre quando os serviços desses aplicativos são instalados em diretórios que podem ser gravados por usuários não administrativos. A falha tem score CVSS 4.0 de 9.3 (critical) e o vetor de ataque é classificado como local.
Abordagem técnica / Vetor e exploração
O vetor técnico identificado é clássico: se um serviço carrega DLLs a partir de caminhos que podem ser controlados por contas com menor privilégio, um invasor local pode substituir a DLL legítima por uma versão maliciosa com o mesmo nome. Quando o serviço reinicia, a DLL maliciosa é carregada e executada no contexto do serviço. No caso reportado, o processo afeta componentes que chegam a executar sob a conta LocalSystem, o que permite elevar código executado a um nível de privilégio muito alto no sistema.
Produtos e versões afetadas
- ASUSTOR Backup Plan (ABP): versões ≤ 2.0.7.9050
- ASUSTOR EZSync (AES): versões ≤ 1.0.6.8290
Essas versões e todas anteriores são citadas como vulneráveis no advisory.
Mitigações e correção
A ASUSTOR lançou atualizações corrigindo o problema. As versões corretivas indicadas são:
- ABP: 2.0.7.10171 ou superior
- AES: 1.1.0.10312 ou superior
Além de aplicar os patches oficiais, a descrição técnica torna explícito que instalar serviços em diretórios não graváveis por contas não administrativas e revisar permissões de arquivo para componentes que carregam bibliotecas dinâmicas são medidas relevantes para reduzir a superfície de exploração do tipo DLL hijacking.
Impacto e alcance
Exploração bem-sucedida permite execução arbitrária de código com privilégios de sistema, o que pode culminar em comprometimento completo do dispositivo, instalação de backdoors, roubo de dados ou estabelecimento de persistência. A fragilidade é especialmente crítica em ambientes em que esses softwares são usados para backup e sincronização, já que comprometimentos em componentes de infraestrutura de armazenamento podem ter efeito multiplicador sobre a disponibilidade e confidencialidade dos dados.
Limitações das informações
O relatório e o advisory indicam vetor local de ataque; não há informação pública que documente exploração remota nesse contexto. As fontes não detalham explorações observadas em ataques ativos nem estimativas de quantidade de dispositivos afetados.
Recomendações práticas
- Aplicar imediatamente as versões citadas (ABP ≥ 2.0.7.10171; AES ≥ 1.1.0.10312).
- Revisar permissões dos diretórios onde serviços são instalados: garantir que contas de usuários sem privilégio não possam gravar arquivos usados por serviços em execução com privilégios elevados.
- Monitorar reinícios inesperados de serviços e a presença de DLLs em diretórios fora do padrão do fabricante.
- Em ambientes corporativos, priorizar a atualização de hosts que armazenam backups ou que estão expostos a usuários com contas menos privilegiadas.
Contexto
A falha foi classificada como crítica pela pontuação CVSS divulgada e recebeu correção oficial pela fabricante; administradores devem tratar a atualização como prioridade de segurança.