Synology VPN Plus Server aufgrund von Schwachstelle angreifbar

Das Unternehmen Synology warnt vor einer Sicherheitslücke im VPN Plus Server für die Router-Betriebssysteme. Das Risiko der Schwachstelle stufen Hersteller und das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterschiedlich ein. Während Synology es als moderat einschätzt, geht das BSI von einer kritischen Lücke aus.

In der Sicherheitsmeldung bleibt Synology sehr vage. Angreifer aus dem Netz könnten SQL-Befehle in anfällige Versionen von Synology VPN Plus Server schleusen, schreiben die Autoren lediglich. Es gibt noch keine CVE-Nummer, die Auswirkungen seien jedoch moderat. Temporäre Gegenmaßnahmen gebe es nicht.

Synology-Schwachstelle: Moderates oder kritisches Risiko?

Auf der CERT-Bund-Webseite führt das BSI die Sicherheitslücke ebenfalls auf. Die IT-Experten dort erläutern jedoch abweichend von der Synology-Beschreibung, dass Angreifer ohne Anmeldung Dateien manipulieren könnten. Damit sei ein kritisches Sicherheitsrisiko verbunden, der CVSS-Wert des BSI liegt bei 9.1 (kritisch).

Updates zum Schließen der Lücke im VPN Plus Server stellt Synology bisher für Synology Router Manager (SRM)-Firmware 1.3 bereit. Version 1.4.6-0685 oder neuere dichten das Leck ab. Nutzer, die noch SRM 1.2 einsetzen, sollen später versorgt werden. Die Aktualisierung sei laut Sicherheitsmeldung von Synology noch in Arbeit. Administratoren sollten den bereitstehenden Patch zügig anwenden.

Das BSI bewegt sich lieber auf der vorsichtigen Seite bei seiner Gefahreneinschätzung. Vor rund einem Monat warnte es etwa zunächst vor einer vermeintlich kritischen Sicherheitslücke im NTP-Server mit einem CVSS-Wert von 9.8. Später, nach genauerer Analyse, hatte das BSI die Bewertung der Lücke auf CVSS 4.0 (mittel) herabgestuft. Synology warnte zuletzt Silvester vergangenen Jahres vor einer kritischen Schwachstelle im VPN Plus Server. Details und CVE-Eintrag veröffentlichte das Unternehmen fünf Tage nach der Warnung.

(dmk)