Synology: 15 teils kritische Sicherheitslücken in der Surveillance Station
Gleich 15 Sicherheitslücken musste Synology in der Surveillance Station für die NAS-Systeme des Unternehmens schließen. Nutzer der Zusatzsoftware aus Synology-NAS sollten das bereitgestellte Update schnell installieren, da Angreifer über die Sicherheitslücken Daten abgreifen und Schadcode ausführen können.
CVSS Score von 9,9
In der Sicherheitsmitteilung Synology-SA-24:04 informiert Synology über die inzwischen geschlossenen Sicherheitslücken, die teils als kritisch eingestuft werden. CVE-2024-29241 erreicht einen CVSS-Wert (Common Vulnerability Scoring System) von 9,9 auf der bis 10 reichenden Skala. Die Lücke ermöglichte es Angreifern in der System-webapi-Komponente eine fehlende Autorisierung ausnutzen, um Sicherheitseinschränkungen zu umgehen. Über zwei mit 7,7 eingestufte Sicherheitslücken (CVE-2024-29228 und CVE-2024-29229) in der „GetStmUrlPath“- und „GetLiveViewPath“-webapi-Komponente können Angreifer auf sensible Informationen zugreifen. Die anderen zwölf Sicherheitslücken weisen ein mittleres Risiko auf.
Wie genau die jeweiligen Sicherheitslücken ausgenutzt werden können, das verrät Synology wie bei derartigen Bekanntgaben üblich nicht, um es Angreifern nicht unnötig einfach zu machen.
Die Synology Surveillance Station ist ein Zusatz-Paket für die NAS von Synology, die aus ihnen ein NVR-System (Network Video Recorder) macht, mit dem sich eine IP-Kameraüberwachung umsetzen lässt.
Update für DSM 6.2, 7.1 und 7.2
Nutzer der Surveillance Station für den DiskStation Manager (DSM) 7.2 und 7.1 müssen mindestens auf Version 9.2.0-11289 der Surveillance Station aktualisieren, um die Sicherheitslücken zu schließen. Wer auf dem NAS hingegen noch DSM 6.2 einsetzt, etwa weil kein Upgrade auf DSM 7.2 möglich ist, muss die Surveillance Station mindestens auf Versionsnummer 9.2.0-9289 aktualisieren, um sie gegen die 15 Sicherheitslücken zu wappnen.
Auch Client-Software betroffen
Nicht nur in der Surveillance Station selbst wurden Lücken geschlossen, sondern auch in der Client-Software Synology Surveillance Station Client wurde eine Lücke geschlossen, über die Angreifer beliebigen Code ausführen konnten. Details hierzu in Form eines CVE-Eintrags und einer CVSS-Einstufung bleibt Synology bislang schuldig, empfiehlt aber möglichst schnell ein Update auf Version 2.2.0-2507 oder neuer, die die Lücke schließt.