DSM 6.x und darunter Sicherheitslücke in DSM 6 und 7

[Synchrotron]

Nach den zugänglichen Informationen zu der Lücke: Zugänge über VPN oder auch über QickConnect sind nicht betroffen - da benötigt ein Angreifer zusätzliche EinwahlInformationen. Bei der Lücke geht es um DS, die über Portweiterleitungen direkt aufgerufen werden können. Nach Heise geht es um unzureichend abgesicherte Anmeldungen an Netzwerkfreigaben.

 

[himitsu]

Wir hatten hier die letzten Tage vermehrt Angriffe auf SSH.
Es gab ständig Meldungen, das IPs gesperrt wurden, weil von da zu viele falsche Einlogversuche kamen.

Dabei war SSH nichtmal aktiv. (wird nur kurz aktiviert, wenn benötigt)
Aber es gab noch alte Portfreigaben für Subversion, im Router, bei welchen auch Port 22 enthalten war.

Komischer Weise waren das meistens auch IPs, welche in der Firewall auf der Sperrliste stehen,
welche doch sofort beim ersten Versuch hätten blockiert werden müssen?

ALLES wird gesperrt, außer bestimmte IP, sowie IP-Bereiche für Deutschland und Österreich.



Wenn Port 22 nicht offen ist, wie kann DSM dann mitbekommen, dass es dort Einlogversuche gibt?

 

[Synchrotron]

Gute Frage …

 

[himitsu]

arg, ich glaub ich weiß warum.

das erste

 

[Fusion]

Da kannst die Firewall auch gleich aus lassen.

 

[himitsu]

na toll, das war garnicht meine Schuld.

War grade im Quickconnect drin und da ging eine Meldung auf ... egal was man da klickt (ok oder abbrechen), es wurde eine neue Regel angelegt und ganz oben eingefügt ... die alte Regel hatte ich deaktiviert und zusätzlich ein paar Dienste darin entfernt ... DSM und SSH soll garnicht von außen direkt erreichbar sein ... was ist das denn für ein Schwachsinn, den die da verbocken.

Nja, die aktive Option Portfreigaben automatisch anlegen zu lassen, wird von der FritzBox eh ignoriert, da dort sowas nicht erlaubt wird.
So wäre es erstmal nicht schlimm, aber Letztens hatte wer vergessen SSH nach Nutzung wieder zu deaktivieren und zusätzlich war in der Fritzbox eine alte ungenutzte Portreigabe drin, die SSH mit enthilt, somit war die DS nach außen praktisch erreichar.
Und das zufällig dann, wenn so ein Bug existiert, den der Hersteller nichtmal automatisch fixt ... was wäre passiert, wenn ich die Meldung hier nicht zufällig bemerkt hätte? ... Ich hätte die nächsten Wochen/Monate vermutlich nicht nochmal ins DSM reingesehn.

 

[ruedi66]

Updates scheinen da zu sein:
https://archive.synology.com/download/Os/DSM/7.0.1-42218-3

 

[Fusion]

Bei dem Popup mit neuen vorgeschlagenen Firewall-Regeln hat er mir bei 'abbrechen' noch nie trotzdem eine Regel eingetragen.
Wenn du das wiederholt / reproduziert bekommst solltest du ein Ticket schreiben.

Oder ging es um die Liste an Portfreigaben in der 'Routerkonfiguration'? Kann ich keine Erfahrung beisteuern, da ich das noch nie genutzt habe.

 

[AndiHeitzer]

Updates scheinen da zu sein:

Ja, bei der 916+ und bei der 415+ war ein Reboot fällig ...
Das könnte mit dem VMM zusammenhängen?
Alles anderen DoSen wurden nicht restartet.

 

[himitsu]

Jupp, auf meinem privaten NAS wird nun auch das Update 5 zum Installieren angeboten.
Gestern/Nachts noch nicht, als ich grade nachsah, blinkte fast unscheinbar das rote Pünktchen.


@Fussion

Nochmal konnte ich es nicht nachstellen.
Hatte auch den Haken bei "nicht nochmal fragen" gesetzt und nun kommt dort (Einstellungen für Quickconnect) dieser Dialog nicht mehr.

Aber dass Ports oben in die Liste eingetragen werden und "alle" nachfolgen Vorgaben (Sperren) umgehen, das kann doch nicht richtig sein?
Wie schon jemand sagte "Da kannst die Firewall auch gleich aus lassen"

 

[tommytom79]

Ich habe heute über die Nacht das Update 5 über DSM angeboten bekommen, welches ich nun installiert habe. Die Version Update 4 hat er gleich übersprungen. Ich nehme doch stark an, dass der Inhalt von Update 4 auch im Update 5 enthalten ist?

 

[himitsu]

ja, das Vorherrige ist jeweils mit drin ... sieht jedenfalls so aus, wenn man in die Versions-Datei in dem Paket reinsieht.

Ein NAS war noch auf 2 (3 gibt es schon seit einem Monat) und es hatte ich selbst auf 5 gebracht, weil das im Internet erreichbar ist, also Download und manuell installiert.
Das Andere war auf 3 und es hat mir vorhin von selbst das Update angeboten.

 

[odol26]

Seid heute Morgen auch ein Update für die 7.01 Version

Version: 7.0.1-42218 Update 3​

---

(2022-03-01)

Important Note

1. The update is expected to be available in all regions shortly. If you want to update your DSM to this version now, please click here.
2. This update will restart your Synology NAS.

Fixed Issues

1. Fixed an issue where the SSD read-write cache might cause DSM to unexpectedly restart.
2. Fixed an issue where users could still edit the shared folders that are being moved, potentially resulting in unexpected data deletion.

Aber nichts von einer Lückenbehebung wie bei 6.2 Update 5

Fixed multiple security vulnerabilities. (Synology-SA-22:03)

 

[tproko]

Da kannst die Firewall auch gleich aus lassen

Die Reihenfolge der Regeln macht natürlich den Unterschied, ja das ist soweit klar.

Ich habe bisher immer gesagt, lege keine Regeln an, und dann hat er auch keine Regeln angelegt bei mir (sowohl mit DSM6 als auch DSM7). Evt. hat sich ja ein Admin (du oder wer anderer?) einmal verdrückt? Die Regel kann ja schon länger bestehen.

 

[tproko]

Updates scheinen da zu sein:

Danke, heute um 05:00 war noch nichts da.

 

[himitsu]

Von wann/wo/wem diese Regel kam, kann ich jetzt wohl nicht mehr rausbekommen.
Sind aktuell zwei Weitere, die in Frage kämen, oder auch ich irgendwann mal und in den letzten Jahren noch ein/zwei Andere, die ich nun nicht mehr fragen kann.

Aber die hatte ich gestern deaktiviert und als ich in den QuickconnectSettings war und ich nach dem Dialog dort nachsah, war eine neue Regel über der Deaktivierten drin.
Zumindestens das "Nicht nochmal fragen"-Häkchen scheint zu helfen.

 

[Kurt-oe1kyw]

DS118 DSM 7.0.1-42218 Upate 3 ohne Probleme und ohne Neustart der DS.
Bisher unauffällig.

 

[tproko]

@Kurt-oe1kyw gibt hier noch ein 2 Topic dazu. Der Security Issue ist damit noch nicht behoben.

 

[RichardB]

arg, ich glaub ich weiß warum.

das erste

Danke, habe nachgesehen. Den Mist hatte ich in der Firewall meiner 218+ auch (und nur in der, die anderen Dsen sind nicht betroffen).
Ich habe keine Ahnung, wie die Regel (war an Stelle 3) dorthin gekommen ist. Ich hab sie weder geschrieben, noch kann ich mich erinnern, dass ich bei irgendeinem Update gefragt wurde, ob sie eingefügt werden soll. Spooky

 

[tproko]

Fixed multiple security vulnerabilities. (Synology-SA-22:03)

Ok, mittlerweile wurde der SA aktualisiert, dürfte sich doch mit Update 3 von DSM 7.0.1 erledigt haben.