DSM: Synology schließt kritische Lücken in NAS und Routern

Synology hat zwei kritische Sicherheitslücken in seinen eigenen NAS-Systemen und Routern geschlossen, die im Betriebssystem DiskStation Manager 6 stecken, und die Safe Access-Zugriffskontrolle seiner eigenen Router. Updates sind für beide Softwareversionen verfügbar.

Synology hat den Schweregrad beider Sicherheitslücken als kritisch eingestuft. In der Sicherheitsnachricht Synology-SA-20: 26 DSM Synology beschreibt nur, dass die Sicherheitsanfälligkeit es Angreifern ermöglichte, beliebigen Code für anfällige Versionen von DiskStation Manager über mehrere Sicherheitsanfälligkeiten auszuführen. Dies deutet darauf hin, dass Angreifer das NAS auch vollständig übernehmen, die Daten ändern und verschlüsseln konnten.

Das Update für NAS ist ab heute verfügbar

Für NAS-Systeme mit DSM 6.2 ist jetzt ein Update verfügbar, das die Lücken schließt. Benutzer von Synology NAS sollten daher so bald wie möglich auf Version 6.2.3-25426-3 oder höher aktualisieren, um das System zu schützen. Wenn ein automatisches Update noch nicht verfügbar ist, wird angezeigt Aktualisieren Sie Dateien, die direkt von Synology heruntergeladen wurden und manuell importiert – das Update fehlt derzeit für einzelne NAS. Synology nennt auch die Software DSM UC 3.0, SkyNAS und VS960HD als betroffen, für die es jedoch noch kein Update gibt. DMS UC ist das Betriebssystem der Unified Controller-Serie von Synology. VisualStation VS960HD hingegen ist ein Begleitsystem zu Synology NAS mit Funktionen der Surveillance Station.

Zugriffskontrolle in betroffenen Routern

Synology Router, deren Betriebssystem als Synology Router Manager (SRM) bezeichnet wird, wirken sich nicht direkt auf die Zugriffskontrolle aus, sondern auf die Zugriffskontrolle mit Safe Access, mit der die Kindersicherung mit Zeitplänen und Kontingenten sowie Webfiltern für das lokale Netzwerk festgelegt werden kann. In der Sicherheitsnachricht Synology-SA-20: 25 Sicherer Zugriff Es werden jedoch keine detaillierteren Informationen zur Art der Sicherheitslücke beschrieben. Es heißt nur, dass Angreifer beliebigen Code ausführen konnten. Benutzer sollten den sicheren Zugriff auf Version 1.2.3-0234 oder höher so bald wie möglich aktualisieren.