Belangrijk veiligheidslek in DSM update naar 6.2.4-25556 Update 5!

[bussie]

Hoi,

kwam zojuist artikel tegen op HardwareInfo: https://nl.hardware.info/nieuws/80734/synology-beveiligingslek-laat-aanvallers-code-uitvoeren-op-nasen

Gelijk maar even de update handmatig gedownload en geïnstalleerd.
In 2 minuutjes klaar en geen herstart.

Geeft weer een wat veiliger gevoel

[Briolet]

Jammer alleen dat de site in de link een cookie-wall gebruikt zodat niet iedereen dit kan lezen.

Version: 6.2.4-25556 Update 5 (2022-02-22)

Important Note

The update is expected to be available in all regions shortly, while the time of release in each region vary slightly. If you want to update your DSM to this version now, please click here.
Only Synology NAS with DSM 6.2.4 installed can be updated to this version.

Fixed Issues

Fixed an issue where users couldn’t add Google or Outlook accounts at Personal > Email Delivery.
Fixed an issue where sending a test email would fail if users selected Outlook as the service provider.
Fixed multiple security vulnerabilities. (Synology-SA-22:03)
Fixed an issue where filters might not work when users edit domain user or group privileges at Control Panel > Application Privileges.
Fixed an issue where Avid Pro Tools couldn't save files via SMB.

Edit: Zo te zien was er geen restart van de nas. Alleen een restart van de Apple  en Windows fileservices.

[Babylonia]

In de link naar  nl.hardware.info

        Om malafide code uit te voeren, moeten de aanvallers op afstand zijn ingelogd op de nas.

Tja, als je reeds bent ingelogd kan er natuurlijk van alles gebeuren.

Heel goed je zaakjes afdekken, niet alleen direct als connectie van buitenaf naar een NAS,
maar ook intern binnen het thuis-netwerk vanuit een computer naar de NAS toe.  (Vaak over het hoofd gezien).
Een aanvaller op een PC kan in die situatie mogelijk vrij gemakkelijk toegang hebben tot een NAS.
(Eerder bij een kennis van mij overkomen, wiens PC en vervolgens ook de data op een NAS was versleuteld.
 Tegen betaling zou hij de data weer terug kennen krijgen).

Jammer dat geen verdere details zijn gegeven.

[Briolet]

Die info staat ook in de (Synology-SA-22:03) van Synology zelf. Opvallend is dat zowel DSM7 alsook DSM 6.2 betroffen is en Synology de keuze gemaakt heeft om dit eerst in DSM6.2 te fixen. (DSM7 is hiervoor nog kwetsbaar.)

Maar zoals Babylonia schrijft, moet de aanvaller wel al ingelogd zijn om deze zwakheid uit te buiten.

Daarom is het verstandig dat je ook bij gewone users afdwingt dat ze een sterk wachtwoord gebruiken. Of beter: Ze dwingt om 2FA te gebruiken, omdat een gebruiker misschien wel een sterk wachtwoord gebruikt, maar je niet weet of hij dit wachtwoord ook elders gebruikt.

[GerardR]

Ik gebruik DSM 7.0. Voor de zekerheid maar even uitgelogd totdat de update beschikbaar is, ook al gebruik ik 2FA.
Is het wenselijk/noodzakelijk om dan ook de windowsreferentie tbv de verkenner tijdelijk uit te schakelen?

[stapper]

https://be.hardware.info/nieuws/80734/synology-beveiligingslek-laat-aanvallers-code-uitvoeren-op-nasen

[André PE1PQX]

@stapper : exact de zelfde link als in de opening post... 

[stapper]

ja haha,,, stond kennelijk al ergens anders... niet gezien.
daar hebben ze hem onder gekieperd 

[m4v3r1ck]

Ik heb vandaag ook de melding via email gekregen.

A new version of DSM has been downloaded and is ready to install. Please sign into DS1812 and go to Control Panel > Update & Restore to install DSM 6.2.4-25556 Update 5. To know more about the DSM update, please refer to here.