News Synology-NAS: Sicherheitslücke erlaubt beliebige Code-Ausführung

[Frank]

Eine Sicherheitslücke in Synologys NAS-Betriebssystem DiskStation Manager (DSM) erlaubt es angemeldeten Angreifern, beliebigen Code auf dem Gerät auszuführen. Ein erstes Update, mit dem Synology die als wichtig eingestufte Sicherheitslücke schließt, steht bereit, bezieht sich aber nur auf Geräte mit DiskStation Manager 6.2.

Zur News: Synology-NAS: Sicherheitslücke erlaubt beliebige Code-Ausführung

 

[canada]

Damit wäre die Frage geklärt die zuletzt immer bei QNAP Themen auftrat, ja auch Synology hat Sicherheitslücken (wie jede Software). Jetzt können sich beide Seiten die Hand reichen und gut ist.

 

[Der_Picknicker]

Damit wäre die Frage geklärt die zuletzt immer bei QNAP Themen auftrat, ja auch Synology hat Sicherheitslücken (wie jede Software). Jetzt können sich beide Seiten die Hand reichen und gut ist.

Bloß das Synology wesentlich schneller fixed.

 

[LucasAppelmann]

"A vulnerability allows remote authenticated users to execute arbitrary commands via a susceptible version of DiskStation Manager (DSM)."

Der Angreifer braucht also einen angemeldeten User? Es ist also eine Privilege Escalation?

Und - startet die Synology nach dem Update neu? Wenn sehr viele Systeme zugreifen, ist ein Neustart nicht "einfach so" möglich.

 

[Hagen_67]

@Der_Picknicker , woran machst Du das fest? Denn das Bekanntwerden von Sicherheitslücken ist nicht gleich das Datum an denen die Hersteller davon erfahren. Ich hatte schon Qnap- Nas gehabt und aktuell nutrze ich eine Synology. Ja, die Software ist bei Synology etwas besser. Aber so riesen Unterschiede gibt es da nicht.
Ich sehe es wie canada.

 

[scryed]

Bloß das Synology wesentlich

Oder gehässig anndie grosse Glocke hängt ... Kann man sehen wie man will denn zaubern kann Synology auch nicht

Ergänzung (22. Februar 2022)

Aber so riesen Unterschiede gibt es da nicht.
Ich sehe es wie canada.

Ich hab oft das Gefühl das könnte auch eine Firma sein , die Software ist Recht gleich , bringt der eine eine neue Version dann auch der andere .... Alles Recht ähnlich , es sind zwar getrennte Unternehmen aber manchmal könnte man meinen es ist wie mm und Saturn

 

[BrollyLSSJ]

Vielen Dank für die News. Dann will ich mal die NAS in der Firma per Hand aktualisieren, da mit Update 5 noch nicht angeboten wird.

 

[hurga_gonzales]

Damit wäre die Frage geklärt die zuletzt immer bei QNAP Themen auftrat, ja auch Synology hat Sicherheitslücken (wie jede Software). Jetzt können sich beide Seiten die Hand reichen und gut ist.

Alle haben sie Sicherheitslücken. Niemals würde ich eine herkömmliche NAS ans Internet bringen. Früher oder später sind sie alle dran mit Lücken, Ransomware oder sonstwas.

 

[.mojo]

beim versuch des manuellen updates erhalte ich dies:

neuanmeldung und neustart bringt das selbe ergebnis

hat das noch wer?

 

[Haplo]

Frage an den Autoren, der ja die DiskStation 218+ explizit aufführt: Welche Datei soll man denn dann nehmen?
Finde es ja mehr als großartig, dass man in ein ftp-Verzeichnis geworfen wird, in dem Update-Dateien für alle Modelle liegen, nachdem man vorher ein Modell ausgewählt hat. Nur leider ist keine Datei mit dem Namen ds218+ dabei! Es gibt nur ds218, ds218j und ds218play ... Wenn man über das ebenfalls verlinkte Download-Center geht, gibt es nur eine nicht näher versionierte 25556, die beim Einspielen aber als älter oder gleich abgelehnt wird (bin auf Update 3 - warum auch immer die 4 nicht automatisch installiert wurde).
Wenn ich ja nicht ansonsten mit Synology zufrieden wäre - das ist mal echt Benutzerführung von vor 20 Jahren ...

 

[BrollyLSSJ]

hat das noch wer?

So direkt nicht. Ich bekam nur ein "die DSM Version, die Sie installieren wollen, ist älter als die installierte Version" (sinngemäß). Ich musste die Firmware von der speziellen Update 5 Seite runterladen, nicht vom normalen Download Bereich. Der normale Download Bereich bot bei mir noch Update 3 (oder die originale 25556 ohne Update) an. Du musst da mal nach 920 suchen. Das sollte dann das richtig Update sein:

Sofern das NAS-System noch kein passendes Update über die Web-Oberfläche zur Installation anbietet, können Nutzer über das Download Center von Synology nach der aktuellsten Firmware-Version suchen, diese herunterladen und manuell auf dem NAS aktualisieren.

Bei mir wurde da nur die normale 6.2.4 Build 255556 geladen (oder mit maximal Update 3, aber nicht Update 5). Das Update 5 gibt es hier für alle NAS. Eventuell solltet Ihr die News noch entsprechend ergänzen.

 

[.mojo]

So direkt nicht. Ich bekam nur ein "die DSM Version, die Sie installieren wollen, ist älter als die installierte Version" (sinngemäß). Ich musste die Firmware von der speziellen Update 5 Seite runterladen, nicht vom normalen Download Bereich. Der normale Download Bereich bot bei mir noch Update 3 (oder die originale 25556 ohne Update) an. Du musst da mal nach 920 suchen. Das sollte dann das richtig Update sein:

Anhang anzeigen 1190196

Mit genau dem habe ich es ebenfalls versucht, leider selbes ergebnis.

 

[denonom]

Hier in Taiwan ist die 6.2.4-25556-5 bereits direkt über die Web-Oberfläche verfügbar. Die dazugehörige DS213+ hat sie sich gerade gezogen.

Übrigens kein Neustart notwendig.

 

[BrollyLSSJ]

Mit genau dem habe ich es ebenfalls versucht, leider selbes ergebnis.

Mal versucht die NAS mal neu zu starten? Eventuell ist die ja zu lange an. Also wäre so jetzt meine Idee.

 

[.mojo]

Mal versucht die NAS mal neu zu starten? Eventuell ist die ja zu lange an. Also wäre so jetzt meine Idee.

ja, ich habe neu angemeldet, das teil komplett rebootet und testweise sogar den buildin admin reaktiviert und es mit dem versucht. Immer das selbe.
Ich habe dann noch das Protokoll-Center (Log-Center) installiert, leider loggt das dazu auch kein event..
HAbe nun ein Ticket bei Synology eröffnet. Mal sehen was die dazu meinen.

Die Fehlermeldung ist halt leider auch so dermaßen unspezifisch dass googlen danach auch nichts hergibt..

 

[Euphoria]

Damit wäre die Frage geklärt die zuletzt immer bei QNAP Themen auftrat, ja auch Synology hat Sicherheitslücken (wie jede Software). Jetzt können sich beide Seiten die Hand reichen und gut ist.

Es gibt keine sichere Software FERTIG!
Entscheidend ist die Reaktion und hier reagiert Synology einfach schneller. Das haben die in der Vergangenheit oft genug gezeigt.

Die Lücke sehe ich jetzt nicht so kritisch, da der Angreifer einen angemeldeten Benutzer braucht. Wer kein MFA einrichtet ist selber schuld. Bei meiner NAS gibt es MFA Zwang für jeden!

 

[wahli]

Auf meinem DS215j läuft noch Version 6.2.4-25556-3. Es wird kein Update beim NAS angeboten. Im Downloadcenter von Synology werden mir nur manuelle Images für DSM 7 angezeigt:

Wie komme ich zum aktuellen Update Version 6.2.4-25556-5?

 

[timo82]

"A vulnerability allows remote authenticated users to execute arbitrary commands via a susceptible version of DiskStation Manager (DSM)."

Der Angreifer braucht also einen angemeldeten User? Es ist also eine Privilege Escalation?

Danke. Bei mir ist der DSM Zugang nur im internen Netzwerk möglich. Ich bleibe also ganz entspannt.

 

[Topflappen]

Gott bin ich erleichtert, das der heilige Gral der NAS OS auch einen gravierenden Fehler hat.
Wobei die gefühlte Sicherheit mit QNAP in der letzten Zeit schon gut Bergab gegangen ist, also nur jammern auf hohem "Niveau". Zumal Synology auch gleich ne Lösung präsentiert bzw. in Aussicht gestellt haben, so fix ist QNAP definitiv nicht.

 

[.mojo]

Die Lücke sehe ich jetzt nicht so kritisch, da der Angreifer einen angemeldeten Benutzer braucht. Wer kein MFA einrichtet ist selber schuld. Bei meiner NAS gibt es MFA Zwang für jeden!

auch für Dienstkonten? zb das konto meines Plex Servers. Wie funktioniert das mit MFA?


edit: nvm, bin dumm, gilt natürlich nur für die weboberfläche, nicht für CIFS oä.