Synology-NAS: Sicherheitslücke erlaubt beliebige Code-Ausführung

Update Frank Hüber
99 Kommentare
Synology-NAS: Sicherheitslücke erlaubt beliebige Code-Ausführung
Bild: Synology

Eine Sicherheitslücke in Synologys NAS-Betriebssystem DiskStation Manager (DSM) erlaubt es angemeldeten Angreifern, beliebigen Code auf dem Gerät auszuführen. Ein erstes Update, mit dem Synology die als wichtig eingestufte Sicherheitslücke schließt, steht bereit, bezieht sich aber nur auf Geräte mit DiskStation Manager 6.2.

Update für DSM 6.2 steht bereit

Für die aktuelle Version des NAS-Betriebssystems, DSM 7.0, steht zur Stunde noch kein Update bereit, Synology arbeite jedoch mit Hochdruck daran, um es möglichst schnell auszurollen. Da für DSM 6.2 bereits eine Lösung bereitsteht, Synology das Problem demnach schnell beheben konnte, ist davon auszugehen, dass auch für DSM 7.0 schon in Kürze ein Update verfügbar ist. Besitzer eines Synology-NAS, das noch DSM 6.2 einsetzt, sollten die Firmware allerdings umgehend auf Version 6.2.4-25556-5 oder darüber aktualisieren, so Synology im entsprechenden Security Advisory.

Manuelle Updates über Website möglich

Sofern das NAS-System noch kein passendes Update über die Web-Oberfläche zur Installation anbietet, können Nutzer über das Download Center von Synology nach der aktuellsten Firmware-Version suchen, diese herunterladen und manuell auf dem NAS aktualisieren. Die genaue Buildnummer ist dabei in den Release Notes vermerkt, nicht schon beim Download selbst. Für die DS218+ steht beispielsweise seit heute DSM 6.2.4-25556 Update 5 bereit. DSM 7.0 verharrt bei diesem Modell hingegen aktuell noch bei der Version 7.0.1-42218 Update 2 vom 13. Januar dieses Jahres.

A vulnerability allows remote authenticated users to execute arbitrary commands via a susceptible version of DiskStation Manager (DSM).

Synology Security Advisory 22:03 DSM

Synology gibt noch keine Details preis

Um beliebigen Code ausführen zu können, muss der Angreifer remote auf dem NAS-System angemeldet sein. Um welche Art von Anmeldung es sich dabei genau handeln muss, dazu gibt Synology bislang keine Details preis. Es könne somit auch schon eine Netzwerkanmeldung ausreichend sein, um das Synology-NAS anzugreifen.

Update

Update für DSM 7.0 steht bereit

Mit Version 7.0.1-42218-3 (oder höher) steht nun auch eine neue Betriebssystemversion für DSM 7.0 bereit, die die Sicherheitslücke schließt. Die neue Version kann wie oben beschrieben direkt bei Synology heruntergeladen und installiert oder über das Web-Interface des NAS aktualisiert werden.

25 Jahre ComputerBase!
Im Podcast erinnern sich Frank, Steffen und Jan daran, wie im Jahr 1999 alles begann.