DSM: Synology schließt kritische Lücken in NAS und Routern
Synology hat zwei kritische Sicherheitslücken bei den eigenen NAS-Systemen und Routern geschlossen, die im Betriebssystem DiskStation Manager 6 und der Zugriffssteuerung Safe Access der eigenen Router steckten. Für beide Software-Versionen stehen Updates bereit.
Synology hat die Schwere beider Lücken als kritisch eingestuft. Im Sicherheitshinweis Synology-SA-20:26 DSM beschreibt Synology lediglich, dass es Angreifern durch die Lücke möglich war, über mehrere Schwachstellen beliebigen Code auf anfälligen Versionen des DiskStation Managers auszuführen. Dies lässt darauf schließen, dass Angreifern auch eine vollständige Übernahme des NAS, Veränderung von Daten und Verschlüsselung dieser möglich war.
Update für NAS steht seit heute bereit
Für die NAS-Systeme mit DSM 6.2 steht inzwischen ein Update bereit, dass die Lücken schließt. Nutzer eines Synology-NAS sollten deshalb schnellstmöglich auf Version 6.2.3-25426-3 oder höher aktualisieren, um das System zu schützen. Sollte noch kein automatisches Update bereitstehen, können die Update-Dateien direkt bei Synology heruntergeladen und manuell eingespielt werden – für einzelne NAS fehlt das Update derzeit aber noch. Synology nennt zudem die Software DSM UC 3.0, SkyNAS und VS960HD als betroffen, für die es aber noch kein Update gibt. DMS UC ist das Betriebssystem für die Unified-Controller-Serie von Synology. Die VisualStation VS960HD ist hingegen ein Begleitsystem für Synology-NAS mit Funktionen für die Surveillance Station.
Zugriffssteuerung in Routern betroffen
Bei den Routern von Synology, deren Betriebssystem Synology Router Manager (SRM) heißt, ist nicht dieser direkt, sondern mit Safe Access die Zugriffssteuerung betroffen, über die Kindersicherungen mit Zeitplänen und -kontingenten und Webfilter für das lokale Netzwerk eingestellt werden können. Im Sicherheitshinweis Synology-SA-20:25 Safe Access sind allerdings auch keine genaueren Informationen zur Art der Sicherheitslücke beschrieben, sondern auch hier heißt es nur, dass es Angreifern möglich war, beliebigen Code auszuführen. Nutzer sollten Safe Access möglichst schnell auf Version 1.2.3-0234 oder neuer aktualisieren.