Synology-Forum.nl

Synology Router => Synology Router => Topic gestart door: webkabouter op 15 mei 2023, 10:21:33

Titel: Synology waarschuwt voor kwetsbaarheid in VPN-software van routers
Bericht door: webkabouter op 15 mei 2023, 10:21:33

Synology waarschuwt voor een beveiligingslek in de VPN Plus Server-software voor het SRM 1.2-besturingssysteem van de routers van het merk. Het gaat om een kwetsbaarheid waardoor aanvallers vanaf afstand SQL-opdrachten kunnen uitvoeren en daardoor bestanden kunnen manipuleren. Meer informatie wordt niet gegeven.

Het bedrijf beschouwt de ernstigheid van de kwetsbaarheid zelf als 'matig', maar de Duitse cyberveiligheidsdienst BSI geeft hem een 'kritieke' cvss-basisscore van 9.1. De kwetsbaarheid was ook aanwezig in de 1.3-versie van het besturingssysteem, maar inmiddels is deze met de 1.4.6-0685-patch opgelost. Synology geeft geen tijdelijke tegenmaatregelen.

Bron: https://nl.hardware.info/nieuws/85107/synology-waarschuwt-voor-kwetsbaarheid-in-vpn-software-van-routers

Titel: Re: Synology waarschuwt voor kwetsbaarheid in VPN-software van routers
Bericht door: Birdy op 15 mei 2023, 10:28:40

Synology-SA-23:04 VPN Plus Server (https://www.synology.com/nl-nl/security/advisory/Synology_SA_23_04)

Titel: Re: Synology waarschuwt voor kwetsbaarheid in VPN-software van routers
Bericht door: D4nny op 16 mei 2023, 10:52:09

Als ik het goed begrijp gaat het dan om een issue met VPN plus software voor versie 1.4.6-0685.

Voor SRM 1.3 is er al een update beschikbaar van dit package waarin de bug geplet is (heel recentelijk als ik het zo lees) maar voor SRM 1.2 is er nog geen fix...

Titel: Re: Synology waarschuwt voor kwetsbaarheid in VPN-software van routers
Bericht door: Birdy op 16 mei 2023, 11:07:38

Klopt, zie mijn link ;)

Titel: Re: Synology waarschuwt voor kwetsbaarheid in VPN-software van routers
Bericht door: Babylonia op 16 mei 2023, 23:05:20

Die nieuwe versie VPN Plus voor SRM 1.3.1 heb ik inmiddels ook geïnstalleerd.
Het is de vraag of Synology voor de "verouderde" versie SRM 1.2  daar alsnog een update patch voor gaat uitbrengen?
Of ze dat belangrijk genoeg vinden, omdat SRM 1.2. niet meer zal worden ondersteund  vanaf 31 mei 2023. (https://www.synology-forum.nl/synology-router/einde-beschikbaarheid-verouderde-srm-dsm-surveillance-station-en-meer/)

Dus maar even afwachten.

Titel: Re: Synology waarschuwt voor kwetsbaarheid in VPN-software van routers
Bericht door: D4nny op 17 mei 2023, 17:12:22

Citaat van: Babylonia op 16 mei 2023, 23:05:20

omdat SRM 1.2. niet meer zal worden ondersteund  vanaf 31 mei 2023. (https://www.synology-forum.nl/synology-router/einde-beschikbaarheid-verouderde-srm-dsm-surveillance-station-en-meer/)

Dus maar even afwachten.

versie 1.2.5 blijft nog ondersteund :

Merk op dat de volgende Synology-software vanaf 31 mei 2023 niet meer beschikbaar is:
Netwerken (SRM)
Versie 1.0 - 1.1.6 en 1.2 - 1.2.4