Synology-NAS: Sicherheitslücke erlaubt beliebige Code-Ausführung
Eine Sicherheitslücke in Synologys NAS-Betriebssystem DiskStation Manager (DSM) erlaubt es angemeldeten Angreifern, beliebigen Code auf dem Gerät auszuführen. Ein erstes Update, mit dem Synology die als wichtig eingestufte Sicherheitslücke schließt, steht bereit, bezieht sich aber nur auf Geräte mit DiskStation Manager 6.2.
Update für DSM 6.2 steht bereit
Für die aktuelle Version des NAS-Betriebssystems, DSM 7.0, steht zur Stunde noch kein Update bereit, Synology arbeite jedoch mit Hochdruck daran, um es möglichst schnell auszurollen. Da für DSM 6.2 bereits eine Lösung bereitsteht, Synology das Problem demnach schnell beheben konnte, ist davon auszugehen, dass auch für DSM 7.0 schon in Kürze ein Update verfügbar ist. Besitzer eines Synology-NAS, das noch DSM 6.2 einsetzt, sollten die Firmware allerdings umgehend auf Version 6.2.4-25556-5 oder darüber aktualisieren, so Synology im entsprechenden Security Advisory.
Manuelle Updates über Website möglich
Sofern das NAS-System noch kein passendes Update über die Web-Oberfläche zur Installation anbietet, können Nutzer über das Download Center von Synology nach der aktuellsten Firmware-Version suchen, diese herunterladen und manuell auf dem NAS aktualisieren. Die genaue Buildnummer ist dabei in den Release Notes vermerkt, nicht schon beim Download selbst. Für die DS218+ steht beispielsweise seit heute DSM 6.2.4-25556 Update 5 bereit. DSM 7.0 verharrt bei diesem Modell hingegen aktuell noch bei der Version 7.0.1-42218 Update 2 vom 13. Januar dieses Jahres.
A vulnerability allows remote authenticated users to execute arbitrary commands via a susceptible version of DiskStation Manager (DSM).
Synology Security Advisory 22:03 DSM
Synology gibt noch keine Details preis
Um beliebigen Code ausführen zu können, muss der Angreifer remote auf dem NAS-System angemeldet sein. Um welche Art von Anmeldung es sich dabei genau handeln muss, dazu gibt Synology bislang keine Details preis. Es könne somit auch schon eine Netzwerkanmeldung ausreichend sein, um das Synology-NAS anzugreifen.
Update für DSM 7.0 steht bereit
Mit Version 7.0.1-42218-3 (oder höher) steht nun auch eine neue Betriebssystemversion für DSM 7.0 bereit, die die Sicherheitslücke schließt. Die neue Version kann wie oben beschrieben direkt bei Synology heruntergeladen und installiert oder über das Web-Interface des NAS aktualisiert werden.