Synology korrigiert weitere kritische Pwn2Own-SicherheitslĂĽcken
Synology-NAS waren ein beliebtes Ziel beim Pwn2Own-Wettbewerb in Irland. Der Hersteller stopft weitere, dort entdeckte kritische SicherheitslĂĽcken.
(Bild: Bild erstellt mit KI in Bing Image Creator durch heise online / dmk)
Synology hat weitere Sicherheitsmitteilungen zu teils kritischen Sicherheitslücken in den NAS-Systemen des Herstellers veröffentlicht. Diese wurden im Rahmen des Pwn2Own-Wettbewerbs in Irland entdeckt, der Ende Oktober stattgefunden hat.
Die Sicherheitslücken betreffen demnach Synology DSM, Synology Drive Server, Synology Replication Service und Synology BeeStation. Bis auf die Sicherheitslecks in Drive Server, die von Synologys Entwicklern als "wichtig" eingestuft wurde, gelten alle Schwachstellen als kritisches Sicherheitsrisiko. CVE-Schwachstelleneinträge wurden noch nicht vergeben oder veröffentlicht, eine Bewertung nach CVSS-System fehlt ebenfalls.
Synology-Schwachstellen: nur vage Andeutungen
Die Schwachstellen deuten die Sicherheitsmitteilungen nur vage an. In Synology Beestation können Angreifer aus dem Netz demnach beliebigen Code ausführen, bestimmte Dateien lesen oder Man-in-the-Middle-Angreifer bestimmte Dateien schreiben. Betroffen sind Beestation 1.0 und 1.1, das Upgrade auf 1.1-65374 oder neuer korrigiert die Fehler. Der Replication-Service hingegen ermöglicht Angreifern aus dem Netz, beliebige Befehle auszuführen. DSM 7.1 und 7.2 sind dafür anfällig, das Update auf Version 1.2.2-0353 sowie 1.3.0-0423 oder jeweils neuer korrigiert die Fehler. Für das verwundbare DSMUC 3.1 soll innerhalb von 30 Tagen ein Sicherheitsupdate erscheinen.
Fünf Sicherheitslücken in Synology DSM ermöglichen Angreifern aus dem Netz ebenfalls, Schadcode auszuführen, bestimmte Dateien auszulesen oder Angreifern in Man-in-the-Middle-Position, an Admin-Sessions zu gelangen oder bestimmte Dateien zu schreiben. Lediglich für DSM 7.2 steht die fehlerbereinigte Version 7.2.2-72806-1 oder neuer bereit, für die verwundbaren DSM 7.1 und DSMUC 3.1 sollen innerhalb der nächsten 30 Tage Aktualisierungen erscheinen. Die immerhin als "wichtig" eingestufte Lücke in Synology Drive Server ermöglicht Angreifern aus dem Netz, Web-Sessions zu übernehmen und SQL-Befehle einzuschleusen. DSM 7.2 enthält ab Fassung 3.5.1-26102 den Fehler nicht mehr, für DSM 7.1 ist ein Update in den kommenden 30 Tagen angekündigt.
Wer Synology-NAS-Systeme einsetzt, sollte sicherstellen, die verfügbaren Updates zeitnah zu installieren, um die Angriffsfläche zu minimieren.
Bereits in der vergangenen Woche hatte Synology zwei SicherheitslĂĽcken in den NAS-Systemen geschlossen. Die Schwachstellen in Synology Photos und BeePhotos haben die Entwickler als kritisches Sicherheitsrisiko eingestuft.
(dmk)