Synology schließt Pwn2Own-Lücke in Router-Manager-Firmware

Synology schließt eine Sicherheitslücke im Router-Betriebssystem Synology Router Manager (SRM), die Teilnehmer des Pwn2Own-Wettbewerbs in diesem Jahr aufgedeckt haben. Wer Synology-Router einsetzt, sollte daher prüfen, ob die aktualisierte Firmware bereits installiert und aktiv ist.

Synology schreibt in einer Sicherheitsmitteilung, dass die Schwachstellen Angreifern in einer Man-in-the-middle-Position (Mitm) erlauben, beliebigen Code auszuführen oder unbefugten Zugriff auf Intranet-Ressourcen zu erlangen. Die Sicherheitslücken stuft das Unternehmen als "Wichtig" ein. Eine CVE-Nummer wurde (bislang) nicht vergeben, eine CVSS-Einstufung des Risikos fehlt ebenfalls.

Synology-Schwachstelle: Details unbekannt

Wie ein Angriff aussehen könnte oder worin der Fehler genau zu finden ist, erläutert Synology nicht. Das CERT-Bund des BSI gelangt zur Einschätzung, dass die Lücke mit einem CVSS-Wert von 9.8 als kritisch einzustufen ist. Möglicherweise ergibt sich der Unterschied daraus, dass das BSI die Lücke so beschreibt, dass "entfernte, anonyme Angreifer" sie ausnutzen könnten, während Synology mit der Mitm-Position ein lokales Netzwerk als Einschränkung "lokal" einstuft.

Firmwares vor der Version SRM 1.3.1-9346-8 oder SRM 1.2.5-8227-11 sollen verwundbar sein. Temporäre Gegenmaßnahmen nennen die Autoren von Synologys Warnung nicht, lediglich die Aktualisierung hilft, die Fehler zu korrigieren.

Anfang dieser Woche hatte Synology bereits eine andere kritische Firmware-Lücke in Überwachungskameras geschlossen. Beim Hacker-Wettbewerb Pwn2Own haben IT-Sicherheitsforscher in den BC500- und TC500-Modellen die Lecks darin ausgenutzt, um Sicherheitsmaßnahmen zu umgehen und Schadcode auszuführen.

(dmk)