Haben QNAP und Synology die NAS-Sicherheitslücken schon behoben?

In den letzten Wochen haben wir einige Sicherheitslücken gesehen, die sich auf QNAP- und Synology-Geräte . Dabei handelt es sich um Fehler, die es einem Angreifer ermöglichen, Abstürze zu verursachen oder beliebigen Code auszuführen. Sie könnten sogar auf den Inhalt des privaten Speichers zugreifen und Passwörter oder vertrauliche Informationen stehlen. Haben Sie diese Schwachstellen nun behoben? Die Wahrheit ist, dass beide Marken noch daran arbeiten.

Keine Updates für QNAP und Synology

Zum jetzigen Zeitpunkt arbeiten sowohl QNAP als auch Synology weiter an der Veröffentlichung Aktuelles so schnell wie möglich für Benutzer mit NAS, die für diese Sicherheitslücken anfällig sind. Es wurde jedoch noch nicht korrigiert und daher sind die Teams weiterhin in Gefahr.

Lassen Sie QNAP und Synology die NAS-Sicherheitslücken beheben

Im Fall von QNAP sind zwei Sicherheitslücken verzeichnet als CVE-2021-3711 und CVE-2021-3712 . Diese Sicherheitslücken betreffen NAS-Geräte mit QTS, QuTS hero, QuTScloud und HBS 3 Hybrid Sicherungskopie Synchronisieren

Die erste Schwachstelle basiert auf dem Pufferüberlauf im SM2-Algorithmus. Dies kann zu Abstürzen oder Remotecodeausführung führen. Der zweite Fehler liegt an einem Lesepufferüberlauf während der ASN.1-String-Verarbeitung. Sie können damit auch Anwendungen blockieren oder auf privaten Speicher zugreifen.

Es ist zu beachten, dass dies OpenSSL Fehler, die QNAP-Geräte betreffen. Seit OpenSSL haben sie das Problem bereits beim Start von OpenSSL 1.1.1l vor einigen Tagen behoben. QNAP arbeitet jedoch weiterhin daran, Patches für seine Benutzer so schnell wie möglich veröffentlichen zu können.

Sicherheitslücke in NAS Synology

Fernzugriff und Denial-of-Service

Im Fall von Synology, das mehrere betroffene Geräte wie wie DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server und VPN Server hat es derzeit keine Updates zur Behebung des Problems veröffentlicht. Sie stellen sicher, dass sie funktionieren und dass diese Patches in Bearbeitung sind, damit die Benutzer sie in kürzester Zeit anwenden können.

Synology-Geräte sind von den beiden Schwachstellen betroffen, die auch QNAP NAS gefährden und die derzeit nicht über die erforderlichen Patches verfügen, um sie zu beheben und ohne Sicherheitsrisiko zu funktionieren.

Ein Angreifer könnte Denial-of-Service-Angriffe aus der Ferne durchführen und willkürlichen Code ausführen mit einer anfälligen Version von Synology DiskStation Manager, Synology Router Manager, VPN Plus Server oder VPN Server.

Daher warten wir in beiden Fällen noch auf Sicherheitsupdates, die das Problem beheben können. Sowohl QPAN als auch Synology arbeiten daran, ihren Kunden diese Patches anbieten zu können, die die Schwachstellen so schnell wie möglich beheben. Sie können einige Tipps zum Schutz eines NAS sehen.

Aus diesem Artikel empfehlen wir immer, alle Updates und verfügbaren Sicherheitspatches. Dies ist die beste Maßnahme, um sicherzustellen, dass jedes mit dem Netzwerk verbundene Gerät geschützt ist und keine Fehler aufweist, die es einem Angreifer ermöglichen könnten, mit Malware zu infizieren, in den Computer einzudringen oder aus der Ferne eine Aktion auszuführen. Aber natürlich können wir manchmal Probleme mit diesen Updates haben, wenn wir veraltete Geräte verwenden oder, wie wir in diesem Artikel gesehen haben, eine Weile brauchen, bis sie ankommen.