News Synology-NAS: Sicherheitslücke erlaubt beliebige Code-Ausführung

[ssh]

So viel Geld an dann ständig Ärger und dazu noch dürftige Informationen. Da lobe ich mir doch Unraid, Updates ganz unspektakulär ohne FUD sicher konfiguriert und sorgenfrei. BTW eine NAS hat nichts im Weltnetz zu suchen!

 

[Frank]

Frage an den Autoren, der ja die DiskStation 218+ explizit aufführt: Welche Datei soll man denn dann nehmen?
Finde es ja mehr als großartig, dass man in ein ftp-Verzeichnis geworfen wird, in dem Update-Dateien für alle Modelle liegen, nachdem man vorher ein Modell ausgewählt hat.

Bei mir öffnet kein ftp-Verzeichnis, sondern der DL-Link bei der 218+ geht direkt auf https://global.download.synology.co...579.624760077.1645519235-840723151.1645519235

 

[BrollyLSSJ]

Abe nun ein Ticket bei Synology eröffnet. Mal sehen was die dazu meinen.

Da bin ich mal gespannt.

Wie komme ich zum aktuellen Update Version 6.2.4-25556-5?

Also ich musste es direkt per Synology Update 5 Seite laden. Musst nach deinem Modell suchen. Wenn es Zweifel gibt, welche Version du brauchst (z.B., wenn es die NAS mit 2 verschiedenen CPU Modellen gibt), kannst du hier sehen, welche CPU verbaut sein sollte.

 

[catch 22]

Damit wäre die Frage geklärt die zuletzt immer bei QNAP Themen auftrat, ja auch Synology hat Sicherheitslücken (wie jede Software). Jetzt können sich beide Seiten die Hand reichen und gut ist.

Bei solchen Meldungen kann man tatsächlich nur hoffen, dass der eigene NAS Anbieter ebenfalls das ganze offen kommuniziert und nicht unter den Teppich kehrt, falls „es“ mal passiert und dass man dennoch nie solch eine Meldung lesen muss. Alles was darüber hinaus geht, ist Wunschdenken

ich sollte mal wieder schauen… Asustor dürfte vermutlich auch mal wieder eine neue ADM Version für mein NAS rausgebracht haben… gefühlt alle 1 bis 2 Monate immer… real 1 bis 2 pro Quartal…

 

[Recharging]

Zumal Synology auch gleich ne Lösung präsentiert bzw. in Aussicht gestellt haben, so fix ist QNAP definitiv nicht.

Synology veröffentlich solche Dinge doch immer erst, wenn sie einen Fix haben.
Bei QNAP hörst du davon früher, weil sie es zumeist öffentlich haben.

Das erzeugt dann bei Leuten verzerrte Wahrnehmungen.
Sind ja teils unterschiedliche Philosphien - kochen tun beide nur mit Wasser. 😉

 

[wahli]

Also ich musste es direkt per Synology Update 5 Seite laden. Musst nach deinem Modell suchen. Wenn es Zweifel gibt, welche Version du brauchst (z.B., wenn es die NAS mit 2 verschiedenen CPU Modellen gibt), kannst du hier sehen, welche CPU verbaut sein sollte.

Danke für die Liste 👍
Leider sieht man dort die Version nicht, sondern nur das Datum 15.2. Ich warte einfach mal etwas ab. Vermutlich kommt das Update automatisch. Mein NAS ist nicht aus dem Internet erreichbar bzw. nur per VPN, von daher eilt es nicht.

 

[catch 22]

Mein NAS ist nicht aus dem Internet erreichbar

Meins auch nicht, dennoch verspreche ich mir dadurch nur einen minimalen Schutz, da z.B. mein Computer auch als Einfallstor dienen kann.

 

[BrollyLSSJ]

Leider sieht man dort die Version nicht, sondern nur das Datum 15.2.

Das ist Update 5, also 6.2.4 Build 25556 Update 5. Für die 7er Firmware gibt es ja noch kein Update.
Für DSM 7 musst du noch warten. Wenn du z.B. die DS920+ hast, musst du einfach nach 920 auf der Website suchen (das DS und RS und Co. lassen die weg).

 

[Syagrius]

Gibts da auch wieder Ärger von der chinesischen Regierung wie neulich bei Alibaba?

Acknowledgement

Qian Chen (@cq674350529) from Codesafe Team of Legendsec at Qi'anxin Group

 

[1lluminate23]

Etwas Laienhaft muss ich mal fragen "na und"? Meine DSPlay 2018 wird nur hinter der Fritz.Box! im lokalen Netz versorgt und hat keine laufenden Dienste in Internet. Theoretisch sind da selbst Passwörter sinnbefreit, da zumindest bei mir alles lokal genutzt wird. Mir hätte eigentlich ine Dockingstation gereicht

 

[ottoman]

@1lluminate23
Stimmt schon, für den privaten 0815 NAS-Besitzer ist das keine große Lücke, da man zum Ausnutzen erstmal auf dem NAS angemeldet sein muss. Wer sein NAS allerdings offen im Internet hängen hat, mit Benutzerkonten ohne MFA, da wird es dann schon kritischer.
Für Firmen ist das auch nicht ohne. Denn immerhin kann damit das Rollen- und Rechtekonzept umgangen werden.

 

[Euphoria]

Mein NAS ist nicht aus dem Internet erreichbar bzw. nur per VPN, von daher eilt es nicht.

Meins auch nicht, dennoch verspreche ich mir dadurch nur einen minimalen Schutz, da z.B. mein Computer auch als Einfallstor dienen kann.

So toll das für euch beide ist, eine NAS wird zum Teil angeschafft und auch darauf ausgelegt im Internet Dienste bereitzustellen. Sei es nun als "Private Cloud", E-Mail Server oder oder oder
Somit muss auch in den Fällen die Sicherheit den höchstmöglichen Ansprüchen genügen.

 

[Haplo]

Bei mir öffnet kein ftp-Verzeichnis, sondern der DL-Link bei der 218+ geht direkt auf

Danke für die Antwort - das ist leider die gleiche Datei, die im Downloadcenter angeboten wird. Hier ist meine DS allerdings der Meinung, die Version sei älter oder gleich der installierten Version (in meinem Falle "Update 3").
Das ftp-Verzeichnis erscheint, wenn man in den ReleaseNotes (https://www.synology.com/en-global/releaseNote/DSM?model=DS218+#6_2) den angegeben Link klickt: https://archive.synology.com/downlo...85.1110644956.1645522219-136242298.1645522219 - da ist dann aber kein ds218+ dabei. Die Dateien sind aber alle deutlich kleiner, als die Downloadcenter-Version.
Egal, warte ich halt auf die automatische Verteilung ...

 

[mdPlusPlus]

Bei mir läuft noch Update 3. Sobald ich versuche Update 5 manuell zu installieren, kriege ich die Meldung eine Downgrade wäre nicht möglich...

Edit: Mit dem Update von hier hat es geklappt: https://archive.synology.com/download/Os/DSM/6.2.4-25556-5

 

[ElisaMüller]

Alle haben sie Sicherheitslücken. Niemals würde ich eine herkömmliche NAS ans Internet bringen. Früher oder später sind sie alle dran mit Lücken, Ransomware oder sonstwas.

Wofür brauche ich ein NAS, wenn ich es nicht ins Netzwerk einbinde? LAN Backups?

Ich habe doch genau ein NAS um eben nicht Dropbox und OneDrive nutzen zu müssen. Dieses "haltet die NAS vom Internet fern" halt ich darum für völlig am Thema vorbei.

100% sicher ist nie etwas (auch nicht Dropbox), es gelten die gleichen Regeln wie überall in der IT:

• Software immer aktuell halten
• 2fa oder public key

 

[Jaytie]

@.mojo Falls du noch Update 3 drauf hast kannst du nicht direkt auf Update 5. Verwirrenderweise meldet DSM aber dein Update ist zu alt. Das Gegenteil ist eigentlich der Fall.
Du musst erst manuell auf Update 4 und dann auf Update 5, dann sollte es gehen.

Danke für die News, Update(s) gerade eingespielt.

 

[Herdware]

Wofür brauche ich ein NAS, wenn ich es nicht ins Netzwerk einbinde?

Im lokalen Netzwerk sollte es natürlich schon hängen. Geht wohl bei den meisten NAS auch nicht anders.
Aber es braucht halt nicht jeder private NAS-Nutzer Zugriff über das Internet.

Ich habe schon seit vielen Jahren alle "Datengrab"-Festplatten aus allen meinem Computern (Notebook, Gaming-PC, HTPC usw.) verbannt. Darin gibt es nur noch SSDs für Betriebssystem und Programme/Spiele.
Statt dessen landen alle Daten zentral auf meinem nur lokal erreichbaren NAS und von dort wird regelmäßig automatisch ein Backup auf eine USB-Festplatte gemacht.

Zwar nicht ganz so komfortabel wie eine persönliche Cloud-Lösung, die man auch unterwegs erreichen kann, aber immer noch besser, als die Daten verstreut und doppelt auf verschiedenen PCs zu haben. Mein Smart-TV und Smartphone können zwecks Streaming auch drauf zugreifen. usw.

 

[ComputerJunge]

Wofür brauche ich ein NAS, wenn ich es nicht ins Netzwerk einbinde? LAN Backups?

Yep. Ich habe aber auch keinen Anwendungsfall, in welchem ich von unterwegs auf dort abgelegte Daten zugreifen müsste.

 

[Weihnachtsman91]

Yep. Ich habe aber auch keinen Anwendungsfall, in welchem ich von unterwegs auf dort abgelegte Daten zugreifen müsste.

Ich nutze es beispielsweise mit Vaultwarden als Docker Container, um meiner Familie bessere Passwörter bieten zu können.
Das Problem ist, dass meine Mutter sonst immer so ein Passwort hat:
Abcdef6ab

Und allein dafür hängt meine NAS am Netz (Reverse Proxy, verwaltet durch ein anderes Gerät), um ihnen bequem sichere Passwörter und 2FA zu geben.
Wäre ja nicht das erste Mal, dass ihre Konten gehackt werden, darum habe ich die Reissleine gezogen und ihre PWs auf 40 Zeichen generisch umgestellt und 2FA eingepflegr.
Jetzt meckern sie zwar, sind aber gezwungen bessere Passwörter als Wörter aus dem Duden zu nutzen.
Ich weiß, kann man auch lokal bei ihnen machen, aber sie wohnen weit weg und wenn sie fragen/Probleme haben, kann ich diese besser lösen (zB MasterPW reset).

Sonst läuft noch mein WireGuard VPN darüber, sowie Kontakte Sync und Kalender und WebDAV.

Und einen eigenen Server zu betreiben, sind mir die Stromkosten zu viel.
Ich würde gern, aber es ist sehr teuer..

 

[updater14]

Wie akut ist die Panikmache denn?
Für meine 220+ steht noch kein Update bereit (verharrt bei Update 2):
https://www.synology.com/en-global/releaseNote/DSM?model=DS220+#7_0

Was bedeutet denn "angemeldete Angreifer", hat er sich also zuvor korrekt an der Synology authentifizieren müssen?