Photo Station Jetzt patchen: Synology-NAS über Fotoalbum angreifbar vom 27.05.2015

[Frogman]

...
Kann es sein, dass diese Funktion erst in einer späteren PhotoStation Version >= 6.1 eingeführt wurde, und 6.0.x (DSM 4.3.x) somit nicht betroffen sind? Das würde auch erklären, weshalb für DSM 4.3 bzw. diese PhotoStation Version kein Update verfügbar ist

Der aufmerksame Leser der im ersten Post verlinkten Seite bei heise.de nimmt zur Kenntnis:
"Laut des Sicherheitsforschers, der den Bug entdeckt hat, sind alle Ausgaben der Software seit mindestens Version 6.2-2858 betroffen."

 

[JoGi65]

Weil noch einmal: die IST bereits in deinem Netzwerk (sonst könntest du ja nicht von deinen Computern etc. darauf zugreifen - ausser, du hast die wirklich in einer DMZ stehen und greifst bloss via VPN und so zu, oder was weiss ich)...

Ja, ich glaub so was ist es, was aber nicht vor - DS = Spamschleuder - schützt.
http://www.synology-forum.de/showth...ich-sein/page3&p=508749&viewfull=1#post508749

Gibts da eigentlich eine automatische Möglichkeit eine Info oder sowas zu bekommen, wenn die DS "übernommen" wurde?

 

[Matthieu]

Normalerweise verwirft jeder Netzwerkklient IP Pakete, die nicht an ihn gerichtet sind - normalerweise! Aber wenn man ein Gerät in den sogenannten "promiscuous mode" versetzt, kann man jedes Netzwerkpaket mitlesen.

Wäre da nicht der Switch, der nach der MAC-Adresse geht (Stichwort ARP). Aber ich glaube das geht jetzt ein wenig am eigentlichen Thema vorbei, denn die Möglichkeiten eine geknackte DS zu nutzen sind äußerst vielfältig - wie bei jedem potenziellen Ziel.

MfG Matthieu

 

[Matthieu]

Gibts da eigentlich eine automatische Möglichkeit eine Info oder sowas zu bekommen, wenn die DS "übernommen" wurde?

Glaubst du ein böser Junge ist so nett und gibt dir auch noch Bescheid wenn er drauf ist damit du den Stecker ziehen kannst? Solche Einbrüche zu detektieren ist mittlerweile eine eigene Industrie - für entsprechende Software geben große Firmen große Beträge aus. Das geht nur mit ordentlich Monitoring, Log-Analysen und dergleichen. Aber das ist kein Zuckerschlecken. Einen gezielten Angriff im Unternehmensumfeld auch zeitnah zu entdecken ist für viele fast schon ein Lottogewinn.

MfG Matthieu

 

[dil88]

Um das noch zu ergänzen: Sobald man root-Rechte hat, ist es mit dem entsprechenden Know-How relativ einfach, Spuren zu beseitigen.

 

[till213]

Du könntest auch einfach ein Ticket bei Synology eröffnen und die Entwickler direkt fragen. Sie werden es wohl am besten wissen.

Als "Privatkunde"? Na ich hatte doch gehofft, hier im Forum schneller eine Antwort zu erhalten Bin ja wohl nicht der einzige, der diese Meldung gelesen hat und noch auf einer DSM 4.3 sitzt (sitzen bleiben möchte).

Aber werde bei Zeiten mal anfragen...

 

[Puppetmaster]

Als "Privatkunde"?

Verstehe die Frage nicht.
Hast du für deine DS nicht bezahlt? Genau wie ein "Firmen"kunde?

 

[till213]

Der aufmerksame Leser der im ersten Post verlinkten Seite bei heise.de nimmt zur Kenntnis:
"Laut des Sicherheitsforschers, der den Bug entdeckt hat, sind alle Ausgaben der Software seit mindestens Version 6.2-2858 betroffen."

Den Artikel hatte ich gelesen - als erstes. Darum bin ich ja erst (mal wieder) hier im Forum nachschauen gegangen, ob's da mittlerweile detailiertere Angaben zu gibt. Wie zum Beispiel, ob man für die DSM 4.3 noch updates erwarten kann.

Aber liess obigen Satz noch einmal genau durch, mit Betonung auf mindestens - wenn man in diesem Kontext von mindestens spricht, heisst das, was eben dort steht: "Versionen bis mindestend PhotoStation 6.2 sind betroffen. Wohlmöglich aber auch noch frührere!" (Die Zählweise geht hier von der aktuellen Version aus, also rückwärts).

Deshalb ist auch durch meinen kurzen Selbstversuch nicht ganz auszuschliessen, dass die PhotoStation 6.0.x nicht doch (irgendwie) betroffen ist. Beispielsweise ist nicht klar, ob ich die "Photo ID" anpassen muss, dass sie mit einem bei mir existierenden Photo übereinstimmt:

<input type="hidden" name="id" value="photo&#95;8696e_53637265656e2053686f7420323031352d30352d31302061742032322e33342e33352e706e67" />

Ich hatte den Proof of concept einfach beinahe 1:1 übernommen (mit Anpassung der IP natürlich). Kann durchaus sein, dass er deshalb nicht geklappt hat, weil diese ID Werte bei mir keinen Sinn ergeben (und das jetzt noch auszuprobieren bin ich im Moment auch zu müde).

 

[till213]

Verstehe die Frage nicht.
Hast du für deine DS nicht bezahlt? Genau wie ein "Firmen"kunde?

Ach komm schon - echt jetzt? Was tut das zum Thema? Ich hatte hier gehofft, im Forum rasch eine Antwort auf meine Fragen zu finden bzw. meine Erkenntnisse zu teilen. Ist ein wenig müssig, über den Unterschied zwischen Privat- bzw "home user" und Firmenkunde zu diskutieren, nicht? Und falls du's wirklich wissen willst: https://www.synology.com/de-de/ und schau unter "Produkte" und dann "Großunternehmen" nach... ich gehöre ganz sicher nicht dazu.

 

[till213]

Wäre da nicht der Switch, der nach der MAC-Adresse geht (Stichwort ARP). Aber ich glaube das geht jetzt ein wenig am eigentlichen Thema vorbei, denn die Möglichkeiten eine geknackte DS zu nutzen sind äußerst vielfältig - wie bei jedem potenziellen Ziel.

MfG Matthieu

Und bei WLAN? Wird da nicht jedes IP Datenpacket einfach in den Aether gepustet und ist erst einmal für jede Netzwerkkarte sichtbar? Nun gut, die DiskStation hat kein WLAN Modul (zumindest meine nicht), und es ist schon eine ganze Weile her, seit ich im Studium IP Headers seziert und den ISO OSI Stack hoch- und runterzitieren musste ;b

Ich wollte einfach illustrieren, dass man ganz sicher keine Schadsoftware auf seiner DiskStation haben will, egal, wie unwichtig einem die Daten dort sind. Ich denke, das ist rübergekommen

 

[till213]

grep -r . -e "UpdateDescriptionMetadata" hat bei mir übrigens keine Treffer in den von mir als relevant betrachteten Unterverzeichnissen hervorgebracht.

Die Suche in / musste ich nach einer Stunde abbrechen, da grep da diverse sockets und devices zu öffnen versuchte (und ich war grad zu faul, solche mit weiteren grep Argumenten auszuschliessen). Aber unter /usr, /bin, /sbin, /var, /etc und so fort keine Treffer. Natürlich davon ausgehend, dass die Funktion "UpdateDescriptionMetadata" in irgendeiner Textdatei im "Klartext" (nicht kompiliert in irgendeinem byte code vermüselt) vorliegen würde...

 

[Puppetmaster]

Ach komm schon - echt jetzt? Was tut das zum Thema? Ich hatte hier gehofft, im Forum rasch eine Antwort auf meine Fragen zu finden bzw. meine Erkenntnisse zu teilen. Ist ein wenig müssig, über den Unterschied zwischen Privat- bzw "home user" und Firmenkunde zu diskutieren, nicht?

Ich will gar nichts diskutieren im Gegensatz zu dir.
Mit deiner Intention komme ich nicht ganz klar, bzw. ist mir schleierhaft, was du mir sagen willst.

Dann versuche dein Glück halt hier im Forum. Mehr als Spekulation ob für 4.3 noch ein Patch kommt, bzw. welche DSM Versionen explizit betroffen sind wirst du hier aber nicht finden.

 

[Frogman]

Den Artikel hatte ich gelesen - als erstes. Darum bin ich ja erst (mal wieder) hier im Forum nachschauen gegangen, ob's da mittlerweile detailiertere Angaben zu gibt. Wie zum Beispiel, ob man für die DSM 4.3 noch updates erwarten kann.

Aber liess obigen Satz noch einmal genau durch, mit Betonung auf mindestens - wenn man in diesem Kontext von mindestens spricht, heisst das, was eben dort steht: "Versionen bis mindestend PhotoStation 6.2 sind betroffen. Wohlmöglich aber auch noch frührere!" (Die Zählweise geht hier von der aktuellen Version aus, also rückwärts).
.

Ich schließe mich Puppetmaster aber sowas von an... - weder habe ich, im Gegensatz zu Dir, Lust, über diese ebenso unwichtige wie akademische Frage zu diskutieren, noch kann ich Deiner Motivation und Intention folgen. Und sprachliche Nachhilfe benötige ich gewiss nicht

 

[JoGi65]

Glaubst du ein böser Junge ist so nett und gibt dir auch noch Bescheid wenn er drauf ist damit du den Stecker ziehen kannst?

Nö, so naiv bin ich nicht, aber ich dachte, dass es für "relativ" statische Systeme ev. ein System für die Überwachung gibt, das ich noch nicht kenne.

 

[till213]

Ich schließe mich Puppetmaster aber sowas von an... - weder habe ich, im Gegensatz zu Dir, Lust, über diese ebenso unwichtige wie akademische Frage zu diskutieren, noch kann ich Deiner Motivation und Intention folgen. Und sprachliche Nachhilfe benötige ich gewiss nicht

Offenbar doch: im Artikel steht ganz klar mindestens ab Version 6.2. Deine Aussage war, dass somit klar ist, dass Version 6.0 nicht betroffen sein kann (das geht aus deinem Zitat auf meine Frage hin hervor, ob Version 6.0 betroffen ist oder nicht).

Dem widerspreche ich heftigst, weil sprachlich in diesem Zusammenhang ganz klar ist, dass "mindestens" einen grösseren (möglichen) Schadensfall impliziert - und der zieht dann auch Version 6.1, 6.0 etc. mit ein.

Wenn ihr weiter nichts beizutragen habt, fein. Aber meine Motivation war ja wohl klar: herauszufinden, ob die PhotoStation 6.0 auch betroffen ist (ich habe meinen Teil dazu beigetragen!), und ob jemand weiss, der hier regelmässsig im Forum ist, ob es grundsätzlich noch updates für die DSM 4.3 gibt. Hätte ja sein können, dass das jemand hier weiss. Ihr wisst das offenbar nicht, und euren Vorschlag, ein Ticket zu eröffnen, werde ich sicher noch in Erwägung ziehen.

Aber hier herumzutrollen finde ich nicht gerade hilfreich - sorry.

Aber danke dennoch für die Auskünfte bis anhin.

 

[till213]

Offenbar doch: im Artikel steht ganz klar mindestens ab Version 6.2. Deine Aussage war, dass somit klar ist, dass Version 6.0 nicht betroffen sein kann (das geht aus deinem Zitat auf meine Frage hin hervor, ob Version 6.0 betroffen ist oder nicht).

Dem widerspreche ich heftigst, weil sprachlich in diesem Zusammenhang ganz klar ist, dass "mindestens" einen grösseren (möglichen) Schadensfall impliziert - und der zieht dann auch Version 6.1, 6.0 etc. mit ein.

Im Original security Bericht steht sogar lediglich: "Tested version: This issue was tested on Synology Photo Station version 6.2-2858."

Will heissen: "Wir haben's zuerst auf einer Version 6.2 entdeckt, aber wohlmöglich steckt der Fehler überall sonstwo auch noch drin. Wir überlassen's dem Hersteller als Übung, dies herauszufinden..."

In den Medien (bei heise) ist dann eben von "mindestens" die Rede, weil schwer anzunehmen ist, dass ein solcher Fehler auch in höheren Versionen drin ist. Wenn für den Froschmann dies nun eine "akademische Diskussion" ist, sprich: es interessiert ihn einfach nicht, ob der Fehler in früheren Versionen drin ist, weil er selbst eh schon auf der aktuellen Version ist, fein. Dann soll er sich hier raushalten, wenn er nichts beizutragen hat.

Mich und ich denke noch etliche andere "DSM 4.3" Benutzer ist sowas aber von höchstem Interesse!

 

[Puppetmaster]

Mich und ich denke noch etliche andere "DSM 4.3" Benutzer ist sowas aber von höchstem Interesse!

Vermutlich. Die werden ja dann heute in Hundertschaften sicher in diesem Thread aufwarten. Also, einfach abwarten ob der Flut von Anregungen, die da jetzt kommen wird.

Weißt du: kann sein, dass Synology das für DSM 4.3 patcht, kann auch nicht sein. Wer, glaubst du, weiß das? Wir hier sicher nicht.
Interessierte User werden sicherlich ein Ticket öffnen, statt in die Glaskugel zu glotzen.

 

[raymond]

Was gibts dann hier 4 Seiten zu diskutieren? Einfach updaten und fertig. Wenn ein wesentlich älteres DSM noch im Einsatz ist, wo die PhotoStation nicht aktualisert werden kann, dann muss halt das DSM aktualisert werden oder es sollte keine Photostation mehr genutzt werden (jedenfalls nicht mehr vom Internet) oder wenn das auch nicht passabel ist: neue DS. Ist doch ganz einfach, oder?

 

[jahlives]

Nur zur Ergänzung:
man muss die lokale IP Adresse nicht unbedingt erraten. Mit den WebRTC Erweiterungen für HTML5 kann man die lokale Ip Adresse via Javascript erfragen. Damit weiss man als Bösewicht schonmal das Subnetz. Dann noch einen Javascript Portscanner z.B. http://jsscan.sourceforge.net/ und man hat die DS im LAN des Opfers schnell gefunden

 

[Frogman]

Offenbar doch: im Artikel steht ganz klar mindestens ab Version 6.2. Deine Aussage war, dass somit klar ist, dass Version 6.0 nicht betroffen sein kann (das geht aus deinem Zitat auf meine Frage hin hervor, ob Version 6.0 betroffen ist oder nicht).

Kaum, aber offensichtlich Du - denn anders kann ich Deine recht sinnfreie Frage in Deinem Post #19 gar nicht interpretieren, ob "es denn sein könne, dass 6.0.x (DSM 4.3.x) somit nicht betroffen seien". Aber das unaufmerksame Lesen ist ja auch bereits zuvor in diesem Thread zutage getreten. Nun denn, ich klinke mich aus diesem Unsinn aus, auch wenn es mich mitnichten nicht interessiert, was Versionen vor der angeht, die ich selbst installiert habe.