Recent, cercetătorii în securitate cibernetică au demonstrat că echipamentele de supraveghere Synology TC500, BC500 și CC400W conțin vulnerabilități critice care permit accesul de la distanță fără autentificare. Exploatarea unei simple vulnerabilități de format „string blind” a permis obținerea controlului complet asupra acestor camere de supraveghere 4K, echipamente utilizate pe scară largă în infrastructurile critice.
Descoperirea, prezentată de Hardwear.io 2025, ridică semne de întrebare serioase despre modul în care instituțiile publice din România își aleg furnizorii de echipamente IT și de securitate. Vulnerabilitatea identificată (CVE-2024-39350, CVE-2024-39352) a fost exploatată cu succes în competiția Pwn2Own 2024, demonstrând că atacatorii pot obține acces remote la aceste sisteme fără a fi nevoie de cunoștințe speciale sau resurse considerabile.
România și implementarea NIS2: O conformitate superficială?
România implementează Directiva NIS2 prin OUG nr. 155/2024, consolidând securitatea cibernetică pentru infrastructuri critice și rețele esențiale. Cu toate acestea, există o discrepanță îngrijorătoare între adoptarea formală a legislației și implementarea practică a măsurilor de securitate în procesul de achiziții publice.
Informații din sistemul de achiziții publice SEAP arată că ‘firme de casă’ afiliate marilor partide politice realizează achiziții defectuoase pentru Securitatea Națională.
https://sicap.ai/achizitii/contract/119400279
Directiva NIS2 stabilește un cadru legal unificat pentru menținerea securității cibernetice în 18 sectoare critice din UE și solicită statelor membre să definească strategii naționale de securitate cibernetică. Totuși, observarea modului în care instituțiile publice românești își derulează achizițiile prin SEAP (Sistemul Electronic de Achiziții Publice) relevă o problemă sistemică gravă.
Absența consultării specialiștilor în securitate cibernetică.
Instituțiile publice din România continuă să achiziționeze echipamente IT și sisteme de supraveghere prin SEAP fără a consulta în prealabil firme specializate în securitate cibernetică. Acest lucru se întâmplă în ciuda faptului că integrarea cerințelor NIS 2 în cadrul politicilor de conformitate este esențială pentru evitarea riscurilor legale și reputaționale.
Procesul standard de achiziție se bazează, de obicei, pe criterii precum prețul cel mai mic sau raportul preț-calitate, fără a include evaluări obligatorii de securitate cibernetică. Acest lucru duce la achiziționarea de echipamente care, deși pot îndeplini specificațiile tehnice de bază, prezintă vulnerabilități critice de securitate.
Lipsa auditurilor de securitate DNSC pre-implementare.
În cazul echipamentelor Synology menționate, vulnerabilitatea de format string identificată era prezentă în firmware-ul standard al dispozitivelor. O evaluare de securitate efectuată de specialiști înainte de achiziție ar fi putut identifica această problemă și ar fi evitat expunerea infrastructurilor critice la riscuri de securitate.
Expertiza necesară pentru identificarea acestor vulnerabilități nu se găsește în departamentele IT standard ale instituțiilor publice, ci necesită implicarea firmelor specializate în penetration testing, autorizate DNSC, și evaluări de securitate cibernetică.
Echipamentele de supraveghere compromise pot deveni puncte de intrare în rețelele institutionale, permițând atacatorilor să:
Monitorizeze activitățile din zonele sensibile.
Obțină acces lateral în rețelele interne.
Exfiltreze date clasificate sau sensibile.
Perturbeze operațiunile critice.
Implicațiile strategice ale vulnerabilităților
Cazul Synology nu este un incident izolat. Reprezentă o problemă sistemică în care lipsa expertizei în securitate cibernetică din procesul de achiziții publice expune România la riscuri de securitate națională. Instituțiile responsabile cu apărarea cibernetică, precum DNSC (Directoratul Național de Securitate Cibernetică), ar trebui să fie consultate obligatoriu în procesul de achiziție al echipamentelor IT critice.
SURSA: https://hardwear.io/usa-2025/presentation/exploiting-a-blind-format-string-vulnerability-in-modern-iot-devices.pdf
Marius C. Matei
