Auteur Topic: Kritieke bug in de Synology VPN Plus server  (gelezen 936 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Kritieke bug in de Synology VPN Plus server
« Gepost op: 03 januari 2023, 21:17:14 »
https://www.synology.com/en-global/security/advisory/Synology_SA_22_26

CVE-2022-43931
Severity: Critical
- CVSS3 Base Score: 10.0
- CVSS3 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Out-of-bounds write vulnerability in Remote Desktop Functionality in Synology VPN Plus Server before 1.4.3-0534 and 1.4.4-0635 allows remote attackers to execute arbitrary commands via unspecified vectors.

Een score van 10 is het hoogste wat er is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Kritieke bug in de Synology VPN Plus server
« Reactie #1 Gepost op: 03 januari 2023, 21:51:32 »
before  1.4.3-0534 and 1.4.4-0635 allows remote attackers to execute arbitrary commands via unspecified vectors.

Is het niet wat oud nieuws?

Ik zit al  meer dan een jaar  op VPN Plus versie  1.4.3-0534  voor SRM 1.2    met wat minimaal nodig zou zijn als fix
                                      --->  VPN Plus versie  1.4.4-0635  voor SRM 1.3    dateert al van mei 2022

Maar zit daar inmiddels al    op VPN Plus versie  1.4.5-0684  voor SRM 1.3.1  = nog een versie verder  (ook al twee maanden).

 
https://www.synology.com/en-global/security/advisory/Synology_SA_22_26

Kijk naar datums van de release notes:  https://www.synology.com/en-me/releaseNote/VPNPlusServer

(En dan staan pakketten zelfs nog wat eerder op de download servers dan hiervoor reeds benoemd als datum).
Download VPN Plus Server pakketten:    https://archive.synology.com/download/Package/VPNPlusServer
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Kritieke bug in de Synology VPN Plus server
« Reactie #2 Gepost op: 04 januari 2023, 16:37:20 »
Is het niet wat oud nieuws?

Deze bug is op 30 december vorig jaar door Synology gepubliceerd. Dat is nog geen week geleden. En de laatste update van die pagina was gisteren.

Verder heb ik niet naar versies gekeken. Ik nam aan dat versies met bugfixes dan ook heel nieuw moesten zijn. Het is ongebruikelijk dat je bugmeldingen doet voor oude versies terwijl die in de nieuwe software al heel lang opgelost is. (blijkbaar per ongeluk opgelost)

Blijkbaar is deze bug zo kritiek dat men nogmaals wil benadrukken dat men moet updaten.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Kritieke bug in de Synology VPN Plus server
« Reactie #3 Gepost op: 04 januari 2023, 16:56:08 »
Nee, alleen de melding met wat men in die security web-pagina adviseert, is vaak niet up-to-date.
Die informatie komt vaker als "mosterd na de maaltijd".
Is de fix al wijd en breed gecorrigeerd, alleen rond men de informatie erover dan nog niet af bij die web pagina's.
Kennelijk een ondergeschoven kindje die informatie?

Heb dat al eens eerder opgemerkt (een jaar of wat geleden), en Synology daar toen al op gewezen.
Maar kennelijk is dat niet opgepikt en zorgt dit soort info dan voor verwarring.

Misschien eind van het jaar als alle jaarstukken worden opgemaakt, en ook alle interne info voorziening wordt doorgenomen,
is het opgemerkt en alsnog als info aangepast??   Wie weet.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline D4nny

  • Administrator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 85
  • -Ontvangen: 163
  • Berichten: 531
Re: Kritieke bug in de Synology VPN Plus server
« Reactie #4 Gepost op: 09 januari 2023, 10:40:44 »
Deze is wel vrij nieuw en wordt ook bestempeld als critical:

Synology-SA-22:25 SRM

Publish Time: 2022-12-22 13:44:47 UTC+8 Last Updated: 2023-01-06 10:14:24 UTC+8

Abstract

Multiple vulnerabilities allow remote attackers to execute arbitrary command, conduct denial-of-service attacks or read arbitrary files via a susceptible version of Synology Router Manager (SRM).

Synology security advisory

Synology firmware releases

Bericht in de media op Security.nl

Danny | TrueBase.nl

Synology nas in gebruik:
DS916+ 8G (2 x 8TB WD Ultrastar HC320 + 1 x Samsung EcoGreen F3 1,5TB) - Productie
DS716+II (2 x WD20EFRX WD red 2TB) - Test
DS213J (1 x WD10EARX WD Caviar Green 1TB +  1x Samsung EcoGreen F3 1,5TB) - Remote backup

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Kritieke bug in de Synology VPN Plus server
« Reactie #5 Gepost op: 09 januari 2023, 11:27:15 »
Citaat
wordt ook bestempeld als critical:

Alleen heeft deze een base score van 7.5 en de vorige 10.0 (op de schaal tot 10). ;)

Opvallend is dat deze nieuwe een volgnummer heeft die lager is dan de vorige gemelde. Dus eerder ontdekt (zie de sucurity.nl link van Danny).
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Schijf in kritieke toestand, Smart normaal

Gestart door drernieBoard NAS hardware vragen

Reacties: 16
Gelezen: 1508
Laatste bericht 09 augustus 2021, 08:46:29
door sciurius
Kritieke foutmelding: Vermoedelijke ransomware-aanvallen

Gestart door WimDictusBoard Synology DSM algemeen

Reacties: 6
Gelezen: 494
Laatste bericht 27 februari 2024, 12:49:46
door WimDictus
Schijf 2 op DS920+ verkeert in kritieke toestand met 1 herverbindingsfout

Gestart door KadoendraBoard NAS hardware vragen

Reacties: 9
Gelezen: 945
Laatste bericht 25 juni 2022, 18:14:57
door Birdy
NAS-apparaten Synology via kritieke lekken op afstand over te nemen

Gestart door webkabouterBoard Synology DSM algemeen

Reacties: 6
Gelezen: 1052
Laatste bericht 22 oktober 2022, 16:18:38
door Briolet
Synology en QNAP waarschuwen voor kritieke Netatalk-kwetsbaarheden

Gestart door niekniek89Board Synology DSM algemeen

Reacties: 8
Gelezen: 1527
Laatste bericht 29 april 2022, 21:41:23
door Birdy