Synology Surveillance Station: Mehrere Lücken gefährden Sicherheit

Wer das Add-on Surveillance Station auf Synology-Geräten einsetzt, sollte zügig prüfen, ob die verfügbaren Updates bereits installiert wurden. In der Software klaffen Sicherheitslücken, die das Ausführen von Schadcode, das unbefugte Zugreifen auf Intranet-Ressourcen, SQL-Injections und mehr erlauben.

Vor insgesamt 15 Sicherheitslücken in Surveillance Station warnt Synology nun. In der Sicherheitsmitteilung listen die Entwickler auf, dass eine Schwachstelle kritisch ist, zwei hochriskant sind und die restlichen zwölf ein mittleres Risiko für Nutzerinnen und Nutzer bedeuten.

Surveillance Station mit hochriskanten und kritischen Lücken

In der "System"-webapi-Komponente von Synology Surveillance Station können authentifizierte Angreifer eine fehlende Autorisierung ausnutzen, um Sicherheitseinschränkungen auf nicht genannten Wegen zu umgehen (CVE-2024-29241, CVSS 9.9, Risiko "kritisch"). Ebenfalls fehlende Autorisierungen ermöglichen in der "GetStmUrlPath"- sowie "GetLiveViewPath"-webapi-Komponente unbefugten Zugriff auf sensible Informationen (CVE-2024-29228, CVE-2024-29229; beide CVSS 7.7, hoch).

Die Lücken finden sich in Surveillance Station for DSM 6.2, 7.1 und 7.2. Diese sollten auf Version 9.2.0-9289 (DSM 6.2) respektive 9.2.0-11289 (DSM 7.1 und 7.2) oder neuere aktualisiert werden.

In der Client-Software Synology Surveillance Station Client können Angreifer zudem beliebige Befehle ausführen. Wie das genau gelingt, nennt die Synology-Sicherheitsmitteilung nicht. Ein CVE-Eintrag fehlt ebenso wie eine CVSS-Einstufung. Die Entwickler ordnen die Dringlichkeit jedoch als "wichtig" ein. Die Aktualisierung auf Version 2.2.0-2507 oder neuer schließt die Sicherheitslücke.

Mitte des vergangenen Monats hatte Synology Sicherheitslücken im Synology Router Manager (SRM) geschlossen. Angreifer haben dadurch etwa Script-Code einschleusen können.

(dmk)