Sicherheitsupdates: Schadcode-Attacken auf Synology-NAS möglich
Zwei während des Hackerwettbewerbs Pwn2Own entdeckte kritische Sicherheitslücken in NAS-Geräten von Synology wurden geschlossen.
(Bild: Synology)
Aufgrund von zwei Softwareschwachstellen können Angreifer unter anderem Netzwerkspeicher (NAS) der BeeStation-Serie von Synology attackieren. Mittlerweile sind Sicherheitsupdates verfügbar.
Wie Synology in zwei Warnhinweisen zu Synology Photos und BeePhotos schreibt, stufen sie die Sicherheitslücken als "kritisch" ein. CVE-Nummern nennen sie aber nicht. Wie aus den Beiträgen hervorgeht, haben Sicherheitsforscher im Zuge des Hackerwettbewerbs Pwn2Own Irland die Lücken entdeckt und erfolgreich attackiert.
In beiden Fällen kann Schadcode auf Systeme gelangen und sie kompromittieren. In einem Fall sollen entfernte Angreifer die Authentifizierung umgehen können. Wie die Attacken im Detail ablaufen, ist bislang unklar. Synology nennt derzeit keine Hinweise auf Angriffe. Zurzeit gibt es keine Informationen dazu, wie NAS-Besitzer bereits attackierte Geräte erkennen können.
Systeme schützen
Um NAS-Geräte gegen die geschilderten Attacken abzusichern, müssen Admins die folgenden Versionen installieren:
- Synology Photos 1.7.0-0795 für DSM 7.2
- Synology Photos 1.6.2-0720 für DSM 7.2
- BeePhotos 1.1.0-10054 für BeeStation OS 1.1
- BeePhotos 1.0.2-10026 für BeeStation OS 1.0
Auf dem Pwn2Own Irland hat es auch NAS-Modelle des Konkurrenten Qnap erwischt. Nach erfolgreichen Attacken könnten sich Angreifer in diesem Fall Root-Rechte verschaffen und Systeme so vollständig kompromittieren. Auch diese Lücken wurden bereits geschlossen.
Insgesamt hat der Veranstalter des Hackerwettbewerbs Trend Micro mehr als eine Million US-Dollar an Prämien an die Teilnehmer ausgezahlt. Details zu den Sicherheitslücken bleiben unter Verschluss, sodass die Gerätehersteller mit Sicherheitspatches reagieren können, um Systeme zu schützen.
(des)
