11
NAS - SYNOLOGY und D-Link - Diverse kritische Lücken die zum Teil bereits ausgenutzt werden!
Moin Zusammen,
alle Besitzer einer Synology NAS, die die Erweiterung Surveillance Station in der Version < 9.2.0-11289 nutzen und vor allem die, die das Gerätle im Internet veröffentlicht haben, sollten sich mal dringend den folgenden Artikel durchlesen.
https://www.security-insider.de/synology-surveillance-station-schwachste ...
Und alle Besitzer der folgenden D-Link NAS Geräte ...
DNS-120
DNR-202L
DNS-315L
DNS-320
DNS-320L
DNS-320LW
DNS-321
DNR-322L
DNS-323
DNS-325
DNS-326
DNS-327L
DNR-326
DNS-340L
DNS-343
DNS-345
DNS-726-4
DNS-1100-4
DNS-1200-05
DNS-1550-04
... sollten sich dringend den folgenden Artikel anschauen.
https://www.heise.de/news/Am-besten-alle-abschalten-Noch-mehr-D-Link-NAS ...
😔
Gruss Alex
alle Besitzer einer Synology NAS, die die Erweiterung Surveillance Station in der Version < 9.2.0-11289 nutzen und vor allem die, die das Gerätle im Internet veröffentlicht haben, sollten sich mal dringend den folgenden Artikel durchlesen.
https://www.security-insider.de/synology-surveillance-station-schwachste ...
Und alle Besitzer der folgenden D-Link NAS Geräte ...
DNS-120
DNR-202L
DNS-315L
DNS-320
DNS-320L
DNS-320LW
DNS-321
DNR-322L
DNS-323
DNS-325
DNS-326
DNS-327L
DNR-326
DNS-340L
DNS-343
DNS-345
DNS-726-4
DNS-1100-4
DNS-1200-05
DNS-1550-04
... sollten sich dringend den folgenden Artikel anschauen.
https://www.heise.de/news/Am-besten-alle-abschalten-Noch-mehr-D-Link-NAS ...
😔
Gruss Alex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 73750822412
Url: https://administrator.de/contentid/73750822412
Ausgedruckt am: 23.11.2024 um 09:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
zur Klarstellung : die Probleme bei Synology betreffen zum einen nur Nutzer der Überwachungslösung Surveillance Station ( und eben nicht Probleme im Betriebssystem DSM selbst, daher ist o.g. Version auch die des Pakets, nicht des OS), zum anderen können die Sicherheitslücken nach den veröffentlichten Informationen nur ausgenutzt werden von bereits autorisierten Benutzern. Es bleibt zwar unschön, aber damit ist natürlich der Bedrohungsgrad drastisch niedriger, als der bei den alten D-link-Kisten.
Handlungsempfehlung daher: Update des Pakets Surveillance Station.
Gruß
DivideByZero
zur Klarstellung : die Probleme bei Synology betreffen zum einen nur Nutzer der Überwachungslösung Surveillance Station ( und eben nicht Probleme im Betriebssystem DSM selbst, daher ist o.g. Version auch die des Pakets, nicht des OS), zum anderen können die Sicherheitslücken nach den veröffentlichten Informationen nur ausgenutzt werden von bereits autorisierten Benutzern. Es bleibt zwar unschön, aber damit ist natürlich der Bedrohungsgrad drastisch niedriger, als der bei den alten D-link-Kisten.
Handlungsempfehlung daher: Update des Pakets Surveillance Station.
Gruß
DivideByZero
5
alle Besitzer einer Synology NAS mit DSM < 9.2.0-11289
DSM ist erst bei 7.21
Moin,
Clickbait. Da steckt der Fuchs dahinter
Gruß
zur Klarstellung : die Probleme bei Synology betreffen zum einen nur Nutzer der Überwachungslösung Surveillance Station ( und eben nicht Probleme im Betriebssystem DSM selbst
Clickbait. Da steckt der Fuchs dahinter
Gruß
Liest du die Artikel auch bevor du hier einen Post erstellst? 😉
DSM <> Surveilance Station
DSM <> Surveilance Station
1
Moin @DivideByZero,
sorry, ich habe den Artikel heute morgen zu schlampig geschrieben, weil ich total im Stress war.
Habe soeben eine kleine Korrektur vorgenommen, damit dieses Missverständnis so nicht mehr zustande kommt.
Gruss Alex
zur Klarstellung : die Probleme bei Synology betreffen zum einen nur Nutzer der Überwachungslösung Surveillance Station ( und eben nicht Probleme im Betriebssystem DSM selbst, daher ist o.g. Version auch die des Pakets, nicht des OS), zum anderen können die Sicherheitslücken nach den veröffentlichten Informationen nur ausgenutzt werden von bereits autorisierten Benutzern. Es bleibt zwar unschön, aber damit ist natürlich der Bedrohungsgrad drastisch niedriger, als der bei den alten D-link-Kisten.
sorry, ich habe den Artikel heute morgen zu schlampig geschrieben, weil ich total im Stress war.
Habe soeben eine kleine Korrektur vorgenommen, damit dieses Missverständnis so nicht mehr zustande kommt.
Gruss Alex
Moin @michi1983,
meistens ja, aber heute Morgen habe ich wohl etwas geschlampt. 😬
Na ja, so ist das Leben eben, sprich, ein 🦊 mach hin und wieder auch mal Fehler. 😉
Gruss Alex
Liest du die Artikel auch bevor du hier einen Post erstellst? 😉
DSM <> Surveilance Station
DSM <> Surveilance Station
meistens ja, aber heute Morgen habe ich wohl etwas geschlampt. 😬
Na ja, so ist das Leben eben, sprich, ein 🦊 mach hin und wieder auch mal Fehler. 😉
Gruss Alex
Moin @DivideByZero,
ja, alle Berichte die ich bisher darüber gelesen habe, sprechen auch von einer PE (Privilege Escalation).
Für eine "reine" PE, finde ich den CVE-Score mit 9.9, dann aber etwas zu hoch gegriffen.
Oder gibt es innerhalb der "Surveillance Station" eventuell Default-User, die man dafür ausnutzen könnte?
Gruss Alex
zum anderen können die Sicherheitslücken nach den veröffentlichten Informationen nur ausgenutzt werden von bereits autorisierten Benutzern.
ja, alle Berichte die ich bisher darüber gelesen habe, sprechen auch von einer PE (Privilege Escalation).
Für eine "reine" PE, finde ich den CVE-Score mit 9.9, dann aber etwas zu hoch gegriffen.
Oder gibt es innerhalb der "Surveillance Station" eventuell Default-User, die man dafür ausnutzen könnte?
Gruss Alex
Zitat von @MysticFoxDE:
ja, alle Berichte die ich bisher darüber gelesen habe, sprechen auch von einer PE (Privilege Escalation).
Für eine "reine" PE, finde ich den CVE-Score mit 9.9, dann aber etwas zu hoch gegriffen.
ja, alle Berichte die ich bisher darüber gelesen habe, sprechen auch von einer PE (Privilege Escalation).
Für eine "reine" PE, finde ich den CVE-Score mit 9.9, dann aber etwas zu hoch gegriffen.
Es ist nur eine Lücke mit 9.9 gewichtet:
Missing authorization vulnerability in System webapi component in Synology Surveillance Station before 9.2.0-9289 and 9.2.0-11289 allows remote authenticated users to bypass security constraints via unspecified vectors.
Das ist natürlich gleich ein doppeltes Problem. Einmal für etwaige Angriffe. Dann aber auch im normalen Betrieb, wenn einfache Nutzer sich höhere Rechte geben können und bspw. Kameras und Standorte einsehen, für die sie explizit keinen Zugriff haben sollen. Insofern ist nachvollziehbar, dass dieser Bug ein höheres Gewicht hat.
Für den Angriff von außen allerdings braucht es dann eben erst a) die Freigabe der Surveillance Station nach außen ohne VPN und b) einen einfach zu knackenden User, d.h. für Dritte sollte es schwierig sein, einzubrechen.
Gruß
DivideByZero
1
Moin @DivideByZero,
ich will ja nicht sagen, dass das Problem nicht kritisch ist.
Wenn man jedoch Backdoors, die ohne jegliche PE direkt zugänglich sind mit 10.0 bewertet, siehe XZ oder die jüngste Palo Alto Geschichte, finde ich die 9.9 bei der PE von Synology, trotzdem etwas übertrieben.
Gruss Alex
Das ist natürlich gleich ein doppeltes Problem. Einmal für etwaige Angriffe. Dann aber auch im normalen Betrieb, wenn einfache Nutzer sich höhere Rechte geben können und bspw. Kameras und Standorte einsehen, für die sie explizit keinen Zugriff haben sollen. Insofern ist nachvollziehbar, dass dieser Bug ein höheres Gewicht hat.
ich will ja nicht sagen, dass das Problem nicht kritisch ist.
Wenn man jedoch Backdoors, die ohne jegliche PE direkt zugänglich sind mit 10.0 bewertet, siehe XZ oder die jüngste Palo Alto Geschichte, finde ich die 9.9 bei der PE von Synology, trotzdem etwas übertrieben.
Gruss Alex
Guten Morgen,
da sind wir einer Meinung. Ich bin auch grundsätzlich der Auffassung, dass Angriffe, die eine vorherige Autorisierung erfordern, bei vernünftiger Konfiguration und guten Kennwörtern (ggf. auch 2FA) untergewichtet und nur schwierig auszunutzen sind. Hier ist nur die Besonderheit, die dann gerne übersehen wird, dass interne "neugierige Nasen" ganz schnell mehr können, als sie dürfen. Da sehe ich dann auch eher den Handlungsbedarf. Da wollte ich aber auch mehr die Allgemeinheit, weniger den Fuchs darauf hinweisen 😉
Gruß
DivideByZero
da sind wir einer Meinung. Ich bin auch grundsätzlich der Auffassung, dass Angriffe, die eine vorherige Autorisierung erfordern, bei vernünftiger Konfiguration und guten Kennwörtern (ggf. auch 2FA) untergewichtet und nur schwierig auszunutzen sind. Hier ist nur die Besonderheit, die dann gerne übersehen wird, dass interne "neugierige Nasen" ganz schnell mehr können, als sie dürfen. Da sehe ich dann auch eher den Handlungsbedarf. Da wollte ich aber auch mehr die Allgemeinheit, weniger den Fuchs darauf hinweisen 😉
Gruß
DivideByZero
1
Moin DivideByZero,
dein Hinweis(s) war(en) sachlich, richtig und wichtig, somit alles gut. 🕊️☮️
Gruss Alex
Da wollte ich aber auch mehr die Allgemeinheit, weniger den Fuchs darauf hinweisen 😉
dein Hinweis(s) war(en) sachlich, richtig und wichtig, somit alles gut. 🕊️☮️
Gruss Alex
