Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Wahrscheinlich nur, wenn man das NAS und sein Netzwerk so eingerichtet hat, dass das NAS von extern erreichbar ist.
Ein NAS welches nur intern genutzt wird sollte nicht betroffen sein.
Wer sein NAS ungesichert ins Netz stellt, hat ganz andere Probleme. Per se ist der Zugriff nur möglich, wenn eine Freigabe nach extern vorhanden ist. Also ganz ruhig bleiben.
Die Lücke ist ausnutzbar, sobald Synology Quickconnect aktiv ist. Der Angreifer kann statt eines remote Zugriffs einen lokalen Zugriff simulieren und umgeht so die MFA. Ohne MFA gibt es aber immernoch einen Passwortschutz.
Ergänzung ()
Muffknutscher schrieb:
Wer sein NAS ungesichert ins Netz stellt, hat ganz andere Probleme. Per se ist der Zugriff nur möglich, wenn eine Freigabe nach extern vorhanden ist. Also ganz ruhig bleiben.
Dazu muss ich allerdings sagen, dass ein externer Zugriff während der Ersteinrichtung des Gerätes automatisch aktiviert wird, sofern man dem nicht ausdrücklich widerspricht. Die Funktion dürfte auf mind 50% der Synology NAS weltweit aktiv sein. Außerdem erfordert Quickconnect keine Portfreigabe weil es im HTTP/S Protokoll Huckepack mitgetragen wird.
Es gibt andauernd Sicherheistlücken.
Gibts da nicht so eine komische Regel die sagt dass eine neue Sicherheitslücke nach dem Melden erst nach xy Tagen bestätigt/veröffentlicht wird?
Also ich hab meinen Account mit Admin-Rechten auch lokal mit MFA gesichert.
Also für Geräte ohne aktivem QuickConnect ohnehin unnötige Panik. Einfach Updates installieren lassen und gut. Meine war auch automatisch auf Update 5 aktualisiert, sobald es verfügbar war.
Habe eben von 7.3 auf die 7.3.1 mit Update aktualisiert. Angeboten wurde sie mir über das automatische Update aber noch nicht. Danke für die Info, auch wenn QuickConnect aus und 2FA immer an sind.
Ok, habe ich nicht bedacht! Danke für die Richtigstellung.
Bei mir im Netzwerk kommt nichts nach extern, was nicht muss. Meine NAS benötigt keinen Zugriff, daher ist sie in der Firewall auch gesperrt. Updates, falls nötig installiere ich manuell
Ich mag hier aber auch die Ausnahme sein.... Ein Allow All ins Internet erlaube ich von keinem meiner Geräte. Nur die Ports die sie auch verwenden sind erlaubt.
Bei mir hat sich das 7.2.2xxxx-5 auch automatisch installiert. Bin mal gespannt, dann das 7.3.x automatisch kommt. Mir stellt sich bei Quickconnect eh die Frage, ob es auch gefärdet ist, wenn zwar die ID noch gesetzt ist, aber kein Zugriff von Extern konfiguriert ist.
Vielleicht hier ein Sonderfall, da "Die nun geschlossene Softwareschwachstelle haben Teilnehmer des Hacker-Wettbewerbs Pwn2Own entdeckt." via heise.de
Bei Nachrichten auf Computerbase zu QNAP Sicherheitslücken, waren die Updates gewöhnlich 1-3 Monate alt, die diese geschlossen hatten. Also teils zwei Versionen vor der aktuellen.
Nicht nur das, sondern auch welcher Dienst ist erreichbar. Wer 5001 oder noch schlimmer 5000 ins Internet rauslässt, dem ist nicht mehr zu helfen oder einer sonstiger xyz-Station-Anwendung. Was anderes ist es, wenn man z.B. hinter dem Reverseproxy einen Dockercontainer, der irgendeine Webseite bereitstellt.
Nicht nur das, sondern auch welcher Dienst ist erreichbar. Wer 5001 oder noch schlimmer 5000 ins Internet rauslässt, dem ist nicht mehr zu helfen oder einer sonstiger xyz-Station-Anwendung. Was anderes ist es, wenn man z.B. hinter dem Reverseproxy einen Dockercontainer, der irgendeine Webseite bereitstellt.
Der Angreifer kann statt eines remote Zugriffs einen lokalen Zugriff simulieren und umgeht so die MFA. Ohne MFA gibt es aber immernoch einen Passwortschutz.
