mysticfoxde
Goto Top

NAS - SYNOLOGY und D-Link - Diverse kritische Lücken die zum Teil bereits ausgenutzt werden!

Moin Zusammen,

alle Besitzer einer Synology NAS, die die Erweiterung Surveillance Station in der Version < 9.2.0-11289 nutzen und vor allem die, die das Gerätle im Internet veröffentlicht haben, sollten sich mal dringend den folgenden Artikel durchlesen.

https://www.security-insider.de/synology-surveillance-station-schwachste ...

Und alle Besitzer der folgenden D-Link NAS Geräte ...

DNS-120
DNR-202L
DNS-315L
DNS-320
DNS-320L
DNS-320LW
DNS-321
DNR-322L
DNS-323
DNS-325
DNS-326
DNS-327L
DNR-326
DNS-340L
DNS-343
DNS-345
DNS-726-4
DNS-1100-4
DNS-1200-05
DNS-1550-04

... sollten sich dringend den folgenden Artikel anschauen.

https://www.heise.de/news/Am-besten-alle-abschalten-Noch-mehr-D-Link-NAS ...

😔

Gruss Alex

Content-Key: 73750822412

Url: https://administrator.de/contentid/73750822412

Printed on: May 20, 2024 at 12:05 o'clock

Member: DivideByZero
DivideByZero Apr 14, 2024 at 08:09:25 (UTC)
Goto Top
Moin,

zur Klarstellung : die Probleme bei Synology betreffen zum einen nur Nutzer der Überwachungslösung Surveillance Station ( und eben nicht Probleme im Betriebssystem DSM selbst, daher ist o.g. Version auch die des Pakets, nicht des OS), zum anderen können die Sicherheitslücken nach den veröffentlichten Informationen nur ausgenutzt werden von bereits autorisierten Benutzern. Es bleibt zwar unschön, aber damit ist natürlich der Bedrohungsgrad drastisch niedriger, als der bei den alten D-link-Kisten.

Handlungsempfehlung daher: Update des Pakets Surveillance Station.

Gruß

DivideByZero
Member: tikayevent
tikayevent Apr 14, 2024 at 10:00:51 (UTC)
Goto Top
alle Besitzer einer Synology NAS mit DSM < 9.2.0-11289
DSM ist erst bei 7.2
Member: Coreknabe
Coreknabe Apr 14, 2024 at 11:11:35 (UTC)
Goto Top
Moin,

zur Klarstellung : die Probleme bei Synology betreffen zum einen nur Nutzer der Überwachungslösung Surveillance Station ( und eben nicht Probleme im Betriebssystem DSM selbst

Clickbait. Da steckt der Fuchs dahinter face-wink

Gruß
Member: michi1983
michi1983 Apr 14, 2024 at 14:52:04 (UTC)
Goto Top
Liest du die Artikel auch bevor du hier einen Post erstellst? 😉

DSM <> Surveilance Station
Member: MysticFoxDE
MysticFoxDE Apr 14, 2024 at 15:41:26 (UTC)
Goto Top
Moin @DivideByZero,

zur Klarstellung : die Probleme bei Synology betreffen zum einen nur Nutzer der Überwachungslösung Surveillance Station ( und eben nicht Probleme im Betriebssystem DSM selbst, daher ist o.g. Version auch die des Pakets, nicht des OS), zum anderen können die Sicherheitslücken nach den veröffentlichten Informationen nur ausgenutzt werden von bereits autorisierten Benutzern. Es bleibt zwar unschön, aber damit ist natürlich der Bedrohungsgrad drastisch niedriger, als der bei den alten D-link-Kisten.

sorry, ich habe den Artikel heute morgen zu schlampig geschrieben, weil ich total im Stress war.
Habe soeben eine kleine Korrektur vorgenommen, damit dieses Missverständnis so nicht mehr zustande kommt.

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Apr 14, 2024 at 15:47:17 (UTC)
Goto Top
Moin @michi1983,

Liest du die Artikel auch bevor du hier einen Post erstellst? 😉

DSM <> Surveilance Station

meistens ja, aber heute Morgen habe ich wohl etwas geschlampt. 😬
Na ja, so ist das Leben eben, sprich, ein 🦊 mach hin und wieder auch mal Fehler. 😉

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Apr 14, 2024 at 17:18:41 (UTC)
Goto Top
Moin @DivideByZero,

zum anderen können die Sicherheitslücken nach den veröffentlichten Informationen nur ausgenutzt werden von bereits autorisierten Benutzern.

ja, alle Berichte die ich bisher darüber gelesen habe, sprechen auch von einer PE (Privilege Escalation).
Für eine "reine" PE, finde ich den CVE-Score mit 9.9, dann aber etwas zu hoch gegriffen.

Oder gibt es innerhalb der "Surveillance Station" eventuell Default-User, die man dafür ausnutzen könnte?

Gruss Alex
Member: DivideByZero
DivideByZero Apr 14, 2024 at 19:27:56 (UTC)
Goto Top
Zitat von @MysticFoxDE:

ja, alle Berichte die ich bisher darüber gelesen habe, sprechen auch von einer PE (Privilege Escalation).
Für eine "reine" PE, finde ich den CVE-Score mit 9.9, dann aber etwas zu hoch gegriffen.

Es ist nur eine Lücke mit 9.9 gewichtet:
Missing authorization vulnerability in System webapi component in Synology Surveillance Station before 9.2.0-9289 and 9.2.0-11289 allows remote authenticated users to bypass security constraints via unspecified vectors.

Das ist natürlich gleich ein doppeltes Problem. Einmal für etwaige Angriffe. Dann aber auch im normalen Betrieb, wenn einfache Nutzer sich höhere Rechte geben können und bspw. Kameras und Standorte einsehen, für die sie explizit keinen Zugriff haben sollen. Insofern ist nachvollziehbar, dass dieser Bug ein höheres Gewicht hat.

Für den Angriff von außen allerdings braucht es dann eben erst a) die Freigabe der Surveillance Station nach außen ohne VPN und b) einen einfach zu knackenden User, d.h. für Dritte sollte es schwierig sein, einzubrechen.

Gruß

DivideByZero
Member: MysticFoxDE
MysticFoxDE Apr 15, 2024 at 05:56:57 (UTC)
Goto Top
Moin @DivideByZero,

Das ist natürlich gleich ein doppeltes Problem. Einmal für etwaige Angriffe. Dann aber auch im normalen Betrieb, wenn einfache Nutzer sich höhere Rechte geben können und bspw. Kameras und Standorte einsehen, für die sie explizit keinen Zugriff haben sollen. Insofern ist nachvollziehbar, dass dieser Bug ein höheres Gewicht hat.

ich will ja nicht sagen, dass das Problem nicht kritisch ist.
Wenn man jedoch Backdoors, die ohne jegliche PE direkt zugänglich sind mit 10.0 bewertet, siehe XZ oder die jüngste Palo Alto Geschichte, finde ich die 9.9 bei der PE von Synology, trotzdem etwas übertrieben.

Gruss Alex
Member: DivideByZero
DivideByZero Apr 15, 2024 at 07:19:46 (UTC)
Goto Top
Guten Morgen,

da sind wir einer Meinung. Ich bin auch grundsätzlich der Auffassung, dass Angriffe, die eine vorherige Autorisierung erfordern, bei vernünftiger Konfiguration und guten Kennwörtern (ggf. auch 2FA) untergewichtet und nur schwierig auszunutzen sind. Hier ist nur die Besonderheit, die dann gerne übersehen wird, dass interne "neugierige Nasen" ganz schnell mehr können, als sie dürfen. Da sehe ich dann auch eher den Handlungsbedarf. Da wollte ich aber auch mehr die Allgemeinheit, weniger den Fuchs darauf hinweisen 😉

Gruß

DivideByZero
Member: MysticFoxDE
MysticFoxDE Apr 15, 2024 at 08:13:33 (UTC)
Goto Top
Moin DivideByZero,

Da wollte ich aber auch mehr die Allgemeinheit, weniger den Fuchs darauf hinweisen 😉

dein Hinweis(s) war(en) sachlich, richtig und wichtig, somit alles gut. 🕊️☮️

Gruss Alex