News Synology-NAS: Sicherheitslücke erlaubt beliebige Code-Ausführung

[ComputerJunge]

Ich habe mir die DS218+ damals wegen reiner Neugier ("ah, das ist ein NAS"), aber durchaus auch mit anderen Use Cases im Hinterkopf gekauft.

Aber es hat sich dann im weitern Verlauf in der Tat herausgestellt, dass wir keinen haben, der es sinnvoll erscheinen lässt, die Kiste die ganze Zeit Laufen zu haben.
Die fährt nur automatisiert hoch, um wenige verschlüsselte Backups nach OneDrive zu spiegeln (auch aus einem Docker Container). Und für meine wöchentliche Spiegelung meiner täglichen Backups aufs NAS fahre ich sie wiederum gezielt hoch.

Wenn der Support ausläuft, würde ich mir aber wieder eine holen.

 

[Morpheus(CH)]

beim versuch des manuellen updates erhalte ich dies:
Anhang anzeigen 1190190
neuanmeldung und neustart bringt das selbe ergebnis

hat das noch wer?

Ich hatte das genau gleiche Problem und konnte es wiefolgt lösen:

• Die Firmware direkt bei Synology herunterladen und auf dem PC speichern.
  • https://archive.synology.com/download/Os/DSM/6.2.4-25556-5
• Die Firmware auf das NAS selber kopieren.
• NAS neustarten.
• Manuelles Update starten und die Firmware auswählen welche auf dem NAS gespeichert ist.

Ich hoffe das hilft dir.

 

[greatdisaster]

Es gibt keine sichere Software FERTIG!

Absoluter Unsinn !
Das ist nur eine dumme Ausrede um fehlerhafte Software zu rechtfertigen.
Sicher gibt es Software ohne Fehler und ohne Sicherheitslücken allerdings steigt die Wahrscheinlichkeit für Fehler mit steigender Codekomplexität stark an.

 

[Euphoria]

Sicher gibt es Software ohne Fehler und ohne Sicherheitslücken allerdings steigt die Wahrscheinlichkeit für Fehler mit steigender Codekomplexität stark an.

Und damit gibst du mir doch recht...
Ich bleibe dabei es gibt keine Software die fehlerfrei und somit 100% sicher ist. Natürlich meine ich damit ab gewisser Komplexität und nicht einen Zweizeiler...

 

[M.Ing]

Sicher gibt es Software ohne Fehler und ohne Sicherheitslücken allerdings steigt die Wahrscheinlichkeit für Fehler mit steigender Codekomplexität stark an.

Ja, die meisten Hello World-Programme laufen z.B. ganz gut...

 

[Cool Master]

Damit wäre die Frage geklärt die zuletzt immer bei QNAP Themen auftrat, ja auch Synology hat Sicherheitslücken (wie jede Software).

Das stand nie zur Debatte. Was wohl eher die Debatte war ist die Geschwindigkeit und da ist Synology einfach besser.

 

[Blende Up]

Ja, die meisten Hello World-Programme laufen z.B. ganz gut...

Hängt aber auch stark von den verwendeten dazu gelinkten Librarys und DLL's ab. So'n printf ist'n kompliziertes Stück software ;-) Und über die meist vergessene Argumente des main() prozesses wäre ein provozierter Pufferüberlauf schon denkbar. Ich würd meine Hand da nicht für ins Feuer legen....

 

[Loopman]

beim versuch des manuellen updates erhalte ich dies:

neuanmeldung und neustart bringt das selbe ergebnis

hat das noch wer?

Ähnlich hier - automatisch stehe ich noch bei Update 3, beim manuellen Update bekomme ich den Hinweis, dass die Version neuer als die bisherige sein muss.

Ergänzung (22. Februar 2022)

Mit dem manuellen Update über den oben verlinkten Link, hat es jetzt geklappt.

 

[ssh]

Wofür brauche ich ein NAS, wenn ich es nicht ins Netzwerk einbinde? LAN Backups?

Ich habe doch genau ein NAS um eben nicht Dropbox und OneDrive nutzen zu müssen. Dieses "haltet die NAS vom Internet fern" halt ich darum für völlig am Thema vorbei.

100% sicher ist nie etwas (auch nicht Dropbox), es gelten die gleichen Regeln wie überall in der IT:

• Software immer aktuell halten
• 2fa oder public key

Du hast den Sinn einer NAS nicht verstanden, ersetzt primär weder Dropbox noch OneDrive sondern stellt in erster Linie einen lokalen Fileserver dar.

 

[fortknox]

Da bei QNAP und auch Synology immer wieder solche schweren Sicherheitslücken bekannt werden (oder gar Ransomwareangriffe schon passieren) und da ich nicht auf den Fernzugriff per WireGuard-VPN auf mein NAS verzichten kann, habe mir kein NAS von der Stange geholt, sondern auf einen Selbstbau gesetzt und lasse darauf Unraid laufen.
Da man hier alte Hardware verbraten konnte, war das auch so nebenbei erheblich billiger.
Hoffe es ist, da es kein System von der Stange ist, deshalb wenigstens etwas sicherer...

 

[StardustOne]

Wer sein NAS nicht im Internet verfügbar gemacht hat, der sollte ja im Prinzip sicher sein. Es ist auf jeden Fall trotzdem wichtig, wenn dann ein Patch verfügbar wird, das Update sofort einzuspielen. Tja ich hoffe auf einen schnellen Patch.

Lieber ein NAS (oder zwei) als gar kein Backup.

 

[Cool Master]

Wer sein NAS nicht im Internet verfügbar gemacht hat, der sollte ja im Prinzip sicher sein.

Sehe ich nicht so. Es ist ja nicht mal bekannt wie der Angriff passiert. Ggf. kann durch eine Schwachstelle in einem anderen Programm z.B. Chrome ein Zugriff aufs NAS passieren.

 

[Bigeagle]

Und - startet die Synology nach dem Update neu? Wenn sehr viele Systeme zugreifen, ist ein Neustart nicht "einfach so" möglich.

Sowas wie
'shutdown -r now'? 'systemctl (--force (--force)) reboot'?

Etwas Laienhaft muss ich mal fragen "na und"?

Stell dir mal vor man braucht als Schule oder kleines Unternehmen einen Netzwerkspeicher. Vielleicht noch Schulungen, Ausbildung, Rehabilitation oder ähnliches wo viel durchgangsverkehr bei den Zugriffsberechtigten ist die nicht immer nett und wohlwollend sein müssen.
Da wünscht man sich denke ich schon möglichst schnelle automatische Updates für sowas wenn man sich denn überhaupt gedanken darum macht und sich nicht nur wundert warum das Netzlaufwerk plötzlich voller Katzen GIFs ist. Im günstigen Fall ^^

Ich frage mich bei solchen Meldungen immer wieder ob ich da nun mit einem vernachlässigten Debian das auf automatischen Updates hängt besser oder schlechter dran bin im zweifelsfall. :/
Gibts vermutlich keine bis sehr wenig Vergleichsmöglichkeiten, oder?

 

[Kalsarikännit]

Da man hier alte Hardware verbraten konnte, war das auch so nebenbei erheblich billiger.

Dafür dürfte der Betrieb deutlich teuer sein, die Synos brauchen da teilweise unter 5W wenn nicht viel drauf los ist.

Internet und NAS ist so eine Sache, ich hab das Teil in erster Linie als zentraler Sicherungsspeicher für drei Rechner, da fühlt sich Zugriff von außen irgendwie falsch an.

Auch wenn ich auf meinen gitlab-Server natürlich schon gerne von außen zugreifen würde wollen, ich schenke es mir lieber.

 

[Gnageseil]

Hoffe es ist, da es kein System von der Stange ist, deshalb wenigstens etwas sicherer...

Tja, das weiß man eben auch nicht. Es ist ja nicht so, dass Sicherheitslücken des eigenen Selbstbau-NAS in den News auftauchen würden. Man muss selber alle relevanten Systemkomponenten im Blick haben und ggf. updaten, die Konfig anpassen, irgendwie reagieren. Die Frage ist dann, wie groß ist der Aufwand überhaupt den Überblick zu behalten und dann, im Rahmen der Möglichkeiten, auf eine Sicherheitslücke im eigenen System zu reagieren. Bei Synology sitzt ein ganzes Team dahinter, das macht gerade nichts anderes und stellt dann ein bequemes Update bereit.
Und, dass "von der Stange" per se unsicherer bedeutet ist so auch nicht richtig. Würde ich meinen.

 

[slind]

Besser könnte man es nicht zusammenfassen.

 

[coolsman]

Ich nutze es beispielsweise mit Vaultwarden als Docker Container, um meiner Familie bessere Passwörter bieten zu können.
Das Problem ist, dass meine Mutter sonst immer so ein Passwort hat:
Abcdef6ab

Und allein dafür hängt meine NAS am Netz (Reverse Proxy, verwaltet durch ein anderes Gerät), um ihnen bequem sichere Passwörter und 2FA zu geben.
Wäre ja nicht das erste Mal, dass ihre Konten gehackt werden, darum habe ich die Reissleine gezogen und ihre PWs auf 40 Zeichen generisch umgestellt und 2FA eingepflegr.
Jetzt meckern sie zwar, sind aber gezwungen bessere Passwörter als Wörter aus dem Duden zu nutzen.
Ich weiß, kann man auch lokal bei ihnen machen, aber sie wohnen weit weg und wenn sie fragen/Probleme haben, kann ich diese besser lösen (zB MasterPW reset).

Sonst läuft noch mein WireGuard VPN darüber, sowie Kontakte Sync und Kalender und WebDAV.

Und einen eigenen Server zu betreiben, sind mir die Stromkosten zu viel.
Ich würde gern, aber es ist sehr teuer..

Spannend. Habe einen ähnlichen Aufbau. Womit hast Du Kontakte und Kalender realisiert? Nutzt Du da die Standardfunktionen von Synology?

Ich nutze auch vault(Bit)warden im Docker Container. Alles andere aber auch. Auf der Synology selbst nutze ich kaum Dienste. Auch den Reverse Proxy, Nextcloud (inkl. Kontakte und Kalender), ioBroker, Adguard etc....alles in Docker Containern.
Das klappt bisher recht gut und auch performant. Nutze die DS218+.

Aber nicht alle Dienste nicht nach aussen offen. Lediglich zwei Container gehen raus, alle anderen sind nur lokal verfügbar.

Zum Update: Gerade durchgeführt. Wie schon erwähnt kein Neustart notwendig. Einspielen hat bei mir problemlos geklappt.

 

[Cool Master]

Internet und NAS ist so eine Sache[....]

Sehe ich nicht so. Warum sollte das so ein Problem sein? Es sind Millionen von Servern mit Linux in Netz erreichbar. Ohne Schwachstelle gibt es auch keine echte Bedrohung. Das gleiche gilt für dein Use-Case. Solange die Backups verschlüsselt sind who cares? Mein Cloud Speicher ist auch im Internet und macht 0 Probleme. NAS genau so. Man muss/kann halt die Sicherheit erhöhen in dem einige kleine Sachen gemacht werden wie z.B. IP-Blocking. Bei mir wird jede IP außerhalb Deutschland geblockt und dank fail2ban, welches bei Synology mit dabei ist, werden andere IPs auch gesperrt nach 3 falsch Eingaben.

 

[DarkSoul]

Bloß das Synology wesentlich schneller fixed.

Um dann ein System zu hinterlassen, dass neu aufgesetzt werden muss. Gerade bei Synology lohnt es sich die ersten Tage bis Wochen nach einem neuen Update/Upgrade zu warten und sich die Meldungen anderer Benutzer erst anzuschauen. Und ja, ich kann da aus leidiger Erfahrung sprechen.

 

[Blende Up]

Um dann ein System zu hinterlassen, dass neu aufgesetzt werden muss.

Hab ich tatsächlich noch nie gehabt, und ich hab mit einer 106e angefangen, und bin über x07+, x10+, x15, mittlerweile bei einer 220+ angekommen. Aber neu aufgesetzt mußte da nie irgendetwas werden.

Irgendetwas selber eingerichtet, das nicht über das Synology-Store Angebot reingekommen ist?
Da gibt es ja teils abenteuerliche Gesschichten, aber das könnte man dann schlecht Synology zum Vowurf machen.

Mich hat tatsächlich nur das komplette umwerfen der Backupstrategie, von DSM 5 auf 6 war das glaub ich, gestört. Hirarchisches Backup von DSM 5 auf ein DSM 6 Sytems nicht mehr möglich. D.h. meine 210+ konnte ich da nicht mehr als BU-System benutzen. Daher blieb die 1515 dann halt ewig auf DSM 5. DSM 6 gab es halt nicht für die 210+.