Hardware & Software Alert! Synology: Kritische Lücken in NAS erlauben Angreifern Ausführen von Schadcode

Insgesamt vor vier Sicherheitslücken in bestimmten NAS-Geräte-Reihen warnt Synology. Davon sind drei als kritisch eingestuft und erlauben Angreifern aus dem Netzwerk, beliebigen Code auf den Geräten auszuführen. Aktualisierte Firmware, die die Schwachstellen schließt, steht bereit.

Out-of-Band-Management​

Die drei kritischen Sicherheitslücken finden sich im Out-of-Bands-Management (OOB) der NAS-Geräte. Beim Entschlüsseln von Paketen könnten die Grenzen eines Puffers überschrieben werden (CVE-2022-27624, CVSS 10, Risiko "kritisch"). Solch ein Pufferüberlauf könnte ebenso bei der Verarbeitung von Nachrichten auftreten (CVE-2022-27625, CVSS 10, kritisch).

Bei der Ausführung mit geteilten Ressourcen könnte eine unzureichende Synchronisierung zu einer sogenannten Race Condition führen, was Angreifern ebenfalls das Ausführen beliebiger Befehle ermöglicht (CVE-2022-27626, CVSS 10, kritisch). Weniger schlimm mutet da der Fehler in der Session-Verarbeitung des OOB an, der Zugriffe außerhalb seiner Speichergrenzen und somit den Abfluss vertraulicher Informationen ermöglicht (CVE-2022-3576, CVSS 5.3, mittel).
Betroffen sind die Geräte der Baureihen DS3622xs+, FS3410 und HD6500. Für diese Geräte steht die Diskstation-Manager-Software in Version 7.1.1-42962-2 zur Verfügung, die die Sicherheitslecks stopft. Administratoren sollten die Updates zügig herunterladen und installieren.
Um die aktualisierte Firmware einzuspielen, sollen Administratoren die .pat-Datei, die das Update enthält, von der passend zu ihrem Gerät und der installierten Version auswählen und herunterladen. In der Benutzeroberfläche des Gerätes muss nun die Seite "Manuelle DSM-Aktualisierung" aufgerufen und dort mit Klick auf "Durchsuchen" die .pat-Datei ausgewählt werden. Anschließend startet die Aktualisierung durch die Auswahl von "Anwenden".

Zuletzt hatte .
Quelle: heise