Jetzt patchen: Synology-NAS ĂĽber Fotoalbum angreifbar

Synologys Web-Fotoalbum Photo Station gewährt Angreifern ungewollt Zugriff auf DiskStation NAS-Systeme. Wer nicht will, dass Fremde beliebigen Code auf dem eigenen NAS ausführen, sollte den Patch des Herstellers jetzt einspielen.

In Pocket speichern vorlesen Druckansicht 63 Kommentare lesen
Jetzt patchen: Synology-NAS ĂĽber Fotoalbum angreifbar
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Synology hat eine schwerwiegende Sicherheitslücke in seiner Software für DiskStation NAS-Geräte geschlossen. Die Fotogalerie-App Synology Photo Station lässt sich dazu missbrauchen, beliebigen Code mit den Rechten des Webservers auf dem NAS auszuführen. Dazu muss ein Angreifer nur wissen, wo im Netz die App gehostet wird und sein Opfer dann auf eine präparierte Webseite locken.

Photo Station dient dazu, Bilder vom NAS im Internet als Fotoalbum anzuzeigen. Allerdings überprüft die App eingehende Daten nicht richtig und kann deswegen von Angreifern mit manipulierten POST-Requests ausgetrickst werden. Dies ist möglich, da Photo Station einen Parameter aus dem Request ungeprüft über den exec()-Befehl von PHP ausführt. Mangelnder Schutz vor Cross-Site Request Forgery (CSRF) führt außerdem dazu, dass Angreifer dies sehr einfach ausnutzen können.

Synology hat die LĂĽcke mit Version 6.3-2945 von Photo Station geschlossen. Laut des Sicherheitsforschers, der den Bug entdeckt hat, sind alle Ausgaben der Software seit mindestens Version 6.2-2858 betroffen. (fab)