近年来,随着云计算和网络存储技术的快速发展,越来越多的企业选择将核心数据和工作负载迁移至云端,以便提升资源利用率和便捷性。Synology作为知名的网络附加存储(NAS)设备厂商,其推出的Active Backup for Microsoft 365(以下简称ABM)软件凭借免费的优势和对微软云服务的深度整合,迅速获得了全球范围内超过120万次的安装。然而,2025年6月,安全研究团队发现了ABM存在一个严重的安全漏洞,导致超过百万租户的敏感信息可被未授权访问,这一事件引起了业界高度关注,也为云备份安全敲响了警钟。本文将详细解析该漏洞的成因、技术细节及其带来的安全隐患,并探讨企业如何防范类似风险,确保核心数据安全。\n\nSynology的ABM主要致力于通过DSM(DiskStation Manager)操作系统为企业提供针对微软365生态系统内数据的集中备份与恢复解决方案,包括OneDrive、SharePoint、Exchange Online和Microsoft Teams等服务。通过OAuth认证流程,ABM引导企业管理员在Microsoft Entra(原Azure AD)租户内授权必要权限,使得备份软件能够合法访问和备份用户数据。
其设计初衷是简化企业的云数据保护流程,提升备份效率和可靠性。\n\n漏洞的核心出现在ABM软件设置过程中的中间件组件——SynoOauth,该组件负责在OAuth授权流程中作为Microsoft身份认证和租户内的NAS设备之间的桥梁。安全研究员在对该流程进行网络抓包和分析时,惊讶地发现,SynoOauth在HTTP响应的302重定向中错误地暴露了包含client_secret的敏感参数。该client_secret并非某一租户内的专属应用凭证,而是Synology自身微软租户内全局应用注册的机密信息。利用该泄露的client_secret,攻击者可以通过OAuth的client credentials授权流程,获取拥有广泛应用权限的访问令牌,从而绕开任何租户的访问控制,直接读取数百万企业的Microsoft 365数据。\n\n这种设计缺陷带来的威胁极为严峻。
ABM请求的权限涵盖了Group.Read.All和ChannelMessage.Read.All等关键权限,使得持有该凭证的攻击者能够访问所有用户组的详细信息、成员身份以及包括Microsoft Teams所有公开和私有频道的消息内容,甚至嵌入的图片和卡片等资料。更令人震惊的是,攻击者无需在目标租户内取得任何前置访问权限,单凭一次监听或中间人攻击即可获得该机密凭证,进而横向渗透至数以百万计的企业云环境。\n\n此次漏洞的发现过程来自于一次针对客户Microsoft Entra租户和Azure基础设施的红队演练。在搭建自有环境模拟ABM安装流程的同时,研究团队使用开源工具和自研解包技术深入分析了Synology DSM的应用包,揭露了隐藏的安全隐患。值得一提的是,研究者还准备了相关的检测和分析工具,并计划开源给更多安全社区成员,以促进行业整体的风险感知和防御能力。\n\n云计算环境常被视作提升企业灵活性和降低IT成本的利器,但此次事件暴露出云生态中组件复杂性带来的巨大安全挑战。
第三方应用集中而广泛的权限,特别是跨多租户的SaaS应用本身,已成为供应链攻击的高价值目标。攻击者利用供应链中一个环节的失误,即对密钥管理和中间件服务保护不力,即可获取数据访问的万能钥匙。由此可见,云服务的便利与安全保障之间存在无法忽视的权衡。\n\n事发后,安全研究团队第一时间向Synology进行负责任的漏洞披露,并建议尽快修补与透明通报。尽管Synology确认了漏洞存在并分配了编号CVE-2025-4679,但在漏洞严重性评估及用户影响告知方面依然存在分歧。厂商对漏洞的风险评级显著低于研究者提出的高危等级,对应的安全公告也只进行了极为笼统的描述,未对客户、合作伙伴做出详细的告警和响应建议。
在目前公开信息中,尚无确切证据显示该漏洞曾被主动利用,但长期暴露的秘密令潜在风险难以估量。\n\n面对这一事件,企业需切实强化对所采纳第三方云应用和备份方案的安全审查。首先,需要对相关服务的权限范围进行严格限制,确保仅授予最低必要权限,避免全租户级别的访问授权随意放行。其次,应加强对应用行为的日志监控和异常检测,一旦发现来自异常IP的批量数据访问或非授权API调用,需及时排查与响应。此外,安全团队还应参与到供应链安全管理中,对厂商的安全态势和响应机制进行定期评估,提高安全事件处置效率。\n\n安全研究者呼吁,云服务提供商与软件厂商应坚持透明和负责任的漏洞披露原则,及时与用户共享风险及检测指标(IOC),以保障广大客户的最大利益。
用户也应理解和践行“共享责任模型”,积极配合供应商落实安全措施。只有通过产学研政多方协作,构建安全生态环境,才能有效抵御日益复杂且频繁的供应链攻击。\n\n综上所述,Synology ABM的泄露事件再度提醒我们:便利的云备份服务在为企业提供数据恢复和业务连续性保障的同时,若安全设计存在缺陷,将给企业带来极大的数据泄露风险。面对数以百万的企业租户及海量敏感信息,任何一个环节的安全失误都可能酿成难以估量的后果。企业应高度重视第三方应用权限管理及安全审核,结合精准的监测和响应手段,主动防范未知风险。厂商则需加强安全研发投入,严格执行最小权限原则,并落实透明及时的漏洞处理机制。
只有如此,才能守护云端数据资产的安全,确保数字化转型的稳健推进。
