Jetzt patchen: Synology-NAS über Fotoalbum angreifbar
Synologys Web-Fotoalbum Photo Station gewährt Angreifern ungewollt Zugriff auf DiskStation NAS-Systeme. Wer nicht will, dass Fremde beliebigen Code auf dem eigenen NAS ausführen, sollte den Patch des Herstellers jetzt einspielen.
- Fabian A. Scherschel
Synology hat eine schwerwiegende Sicherheitslücke in seiner Software für DiskStation NAS-Geräte geschlossen. Die Fotogalerie-App Synology Photo Station lässt sich dazu missbrauchen, beliebigen Code mit den Rechten des Webservers auf dem NAS auszuführen. Dazu muss ein Angreifer nur wissen, wo im Netz die App gehostet wird und sein Opfer dann auf eine präparierte Webseite locken.
Photo Station dient dazu, Bilder vom NAS im Internet als Fotoalbum anzuzeigen. Allerdings überprüft die App eingehende Daten nicht richtig und kann deswegen von Angreifern mit manipulierten POST-Requests ausgetrickst werden. Dies ist möglich, da Photo Station einen Parameter aus dem Request ungeprüft über den exec()-Befehl von PHP ausführt. Mangelnder Schutz vor Cross-Site Request Forgery (CSRF) führt außerdem dazu, dass Angreifer dies sehr einfach ausnutzen können.
Synology hat die Lücke mit Version 6.3-2945 von Photo Station geschlossen. Laut des Sicherheitsforschers, der den Bug entdeckt hat, sind alle Ausgaben der Software seit mindestens Version 6.2-2858 betroffen. (fab)