Zwei kritische Sicherheitslücken machen es Angreifern möglich, Netzwerkspeicher der BeeStation-Serie von Synology anzugreifen. Sicherheitsupdates stehen mittlerweile zur Verfügung.
Kritische Sicherheitslücken entdeckt
Synology warnt in zwei separaten Hinweisen zu Synology Photos und BeePhotos vor diesen Schwachstellen. Es werden keine CVE-Nummern genannt. Sicherheitsforscher haben die Lücken beim Hackerwettbewerb Pwn2Own in Irland entdeckt. Die Forscher konnten die Sicherheitslücken erfolgreich ausnutzen. Schadcode könnte auf die Systeme gelangen und diese kompromittieren. In einem bestimmten Fall sollen Angreifer die Authentifizierung umgehen. Die genaue Ausführung der Attacken bleibt bisher unklar.
Hinweise auf Angriffe fehlen
Derzeit gibt es keine Informationen darüber, ebenso wie NAS-Besitzer bereits angegriffene Geräte erkennen können. Synology hat bis jetzt keine Hinweise auf erfolgreiche Angriffe ausgegeben.
Schutzmaßnahmen für NAS-Geräte
Um die NAS-Geräte zu schützen, müssen Administratoren bestimmte Versionen installieren:
- Synology Photos 1.7.0-0795 für DSM 7.2
- Synology Photos 1.6.2-0720 für DSM 7.2
- BeePhotos 1.1.0-10054 für BeeStation OS 1.1
- BeePhotos 1.0.2-10026 für BeeStation OS 1.0
Ein weiterer Hackerwettbewerb, Pwn2Own Irland, betraf ähnlich wie NAS-Modelle des Konkurrenten Qnap. Angreifer könnten sich nach diesen Attacken Root-Rechte verschaffen. Dadurch wäre eine vollständige Kompromittierung der Systeme möglich. Diese Schwachstellen wurden inzwischen ebenfalls behoben.
Prämien für Sicherheitsforschung
Der Veranstalter des Wettbewerbs, Trend Micro, hat weiterhin als eine Million US-Dollar an Prämien an die Teilnehmer ausgezahlt. Detaillierte Informationen zu den Sicherheitslücken wurden nicht veröffentlicht. Dies geschieht um es Geräteherstellern zu ermöglichen mit Sicherheitspatches auf die Angriffe zu reagieren.
Kommentare