Schwachstellen im OS oder App

[Coolio13]

Hallo Zusammen,

wie geht ihr im dem Thema um, wenn es um Schwachstellen geht. Der Nessus Scanner hat auf meiner aktuellen NAS folgende Schwachstellen identifiziert;
- OS Vulnerability Identified on Device(CVE-1999-0524)
- OS Vulnerability Identified on Device(CVE-1999-0511)
- Application Vulnerability Identified on Device(CVE-2023-51385)
- Application Vulnerability Identified on Device(CVE-2023-51384)
- Application Vulnerability Identified on Device(CVE-2023-48795)

Vielen Dank für euren Input.

 

[Jim_OS]

Ignorieren denn viel mehr als auf ein Update von Synology zu warten, das hoffentlich die Schwachstellen beseitigt, kannst Du eh nicht machen. Es sei denn die Schwachstellen ließen sich auch irgendwie manuell und wie auch immer, selber fixen. Aber ob man sich das antun will und ob da dann überhaupt etwas möglich ist, ist eher fraglich und mit entsprechenden Wissen und Aufwand verbunden. Sollte die Schwachstelle z.B. irgendein Paket oder eine Anwendung des NAS betreffen - z.B. die Audio Station um mal ein Beispiel zu nennen - könnte man dieses Paket natürlich auch entweder deaktivieren - falls das ggf. schon reichen sollte - oder halt ganz löschen.

BTW: Geh mal davon aus das es bei dem NAS durchaus auch noch mehr Schwachstellen gibt als die Dein Scanner da gerade gefunden hat.

VG JIm

 

[ebusynsyn]

@Coolio13

Interessant... ist jetzt meine Schlussfolgerung richtig, die da lautet, wenn ich mein NAS von extern nur via VPN erreichbar habe, diese Schwachstellen nicht relevant sind?

Entschuldige die laienhafte Frage... wie auch immer, muss/werde ich die Schwachstellen wohl ignorieren.

 

[ctrlaltdelete]

Ja, das ist korrekt.
Solange keine Ports offen sind, sollte es sicher sein.

 

[Synchrotron]

Sagen wir mal so: Die meisten erfolgreichen Angriffe auf eine DS dürften nicht von außerhalb des Heimnetzwerks erfolgen. Die kommen von innen, das heißt einem kompromittierten Rechner. Der wird meist per Social Engineering / Phishing übernommen, nicht brute force.

Schon mal gut, wenn die DS nicht exponiert irgendwo im offenen Netz hängt. Im Zweifel sollte man sich aber nur darauf nicht verlassen.

Wenn ein PC (meistens ist es ein PC = Windows-Rechner) übernommen wurde, dann stellt er die Brücke ins Internet und zu einem C&C-Server dar. Damit diese Infektion sich nur möglichst langsam ausbreiten kann, sollte man intern Ideen aus dem Zero-Trust-Baukasten umsetzen. Das heißt: Auch innerhalb des Heimnetzes nicht einfach allem vertrauen, und die Maßnahmen zur Abschottung umsetzen.

Also eigene User für jeden Bereich, Freigaben nur insoweit, wie es dieser User benötigt. Beispiel: Wenn ein Backup von einem PC auf die DS erfolgt, dann passiert das mit einem eigenen User. Und der hat Zugriff nur auf seinen Backupordner, sonst auf nichts, und auch nicht auf DSM. Oder es heißt: Kein Universal-Admin mit Rechten auf alles - jede Einheit hat ihren eigenen Admin, mit 2FA, und der wird nur für Admin-Gedöns benutzt.

Es heißt auch (um uns den Schwachstellen anzunähern) dass auf jeder DS nur das installiert ist, was benötigt wird. Die "nacktesten" DS sind die Backup-Maschinen: Auf denen läuft nichts mehr, was deinstalliert werden kann, außer den Backup-Paketen.

Und so weiter. Das Thema ist abendfüllend. Am Ende geht es einfach darum, dass der Angriff so langsam voran kommt, dass er irgendwann auffällt, bevor es kritisch wird.

 

[ebusynsyn]

@Hellraiser123

Das könnte für Dich von Interesse sein, um die Gegenüberstellung NAS von Extern mit/ohne VPN um weitere Informationen zu bereichern.

Für mich - der von solchen Schwachstellen keine Ahnung hat - nun ein weiteres Kriterium, um die von extern eingerichtete Erreichbarkeit meines NAS via VPN beizubehalten. Wenngleich ich natürlich weiss, dass auch ein VPN kein Allheilmittel ist und tatsächlich nicht in jedem Fall eingesetzt werden kann.

 

[metalworker]

@coolio , hast dir die Meldungen eigentlich angeschaut ?

Und ohne deine Konfig zu wissen kann man das auch gar nicht bewerten

 

[Benares]

https://www.synology.com/de-de/security/advisory

 

[Hellraiser123]

@ebusynsyn die Einstufung der CVEs is low-medium. Keins ist davon relevant, ob man eine Web App von außen erreichbar hat oder nicht. Wie @Synchrotron geschrieben hat, kommen die meisten erfolgreichen Angriffe von innen und nicht außen. Das heißt da schützt dich ein VPN genau 0