DSM 6.x und darunter Sicherheitslücke in DSM 6 und 7

Alle DSM Version von DSM 6.x und älter

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.102
Punkte für Reaktionen
2.067
Punkte
259
Nach den zugänglichen Informationen zu der Lücke: Zugänge über VPN oder auch über QickConnect sind nicht betroffen - da benötigt ein Angreifer zusätzliche EinwahlInformationen. Bei der Lücke geht es um DS, die über Portweiterleitungen direkt aufgerufen werden können. Nach Heise geht es um unzureichend abgesicherte Anmeldungen an Netzwerkfreigaben.
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Wir hatten hier die letzten Tage vermehrt Angriffe auf SSH.
Es gab ständig Meldungen, das IPs gesperrt wurden, weil von da zu viele falsche Einlogversuche kamen.

Dabei war SSH nichtmal aktiv. (wird nur kurz aktiviert, wenn benötigt)
Aber es gab noch alte Portfreigaben für Subversion, im Router, bei welchen auch Port 22 enthalten war.

Komischer Weise waren das meistens auch IPs, welche in der Firewall auf der Sperrliste stehen,
welche doch sofort beim ersten Versuch hätten blockiert werden müssen?

ALLES wird gesperrt, außer bestimmte IP, sowie IP-Bereiche für Deutschland und Österreich.



Wenn Port 22 nicht offen ist, wie kann DSM dann mitbekommen, dass es dort Einlogversuche gibt?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.102
Punkte für Reaktionen
2.067
Punkte
259
Gute Frage …
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
arg, ich glaub ich weiß warum.

das erste :eek:
 

Anhänge

  • Firewall.png
    Firewall.png
    103,9 KB · Aufrufe: 114
  • Like
Reaktionen: Synchrotron

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
na toll, das war garnicht meine Schuld.

War grade im Quickconnect drin und da ging eine Meldung auf ... egal was man da klickt (ok oder abbrechen), es wurde eine neue Regel angelegt und ganz oben eingefügt ... die alte Regel hatte ich deaktiviert und zusätzlich ein paar Dienste darin entfernt ... DSM und SSH soll garnicht von außen direkt erreichbar sein ... was ist das denn für ein Schwachsinn, den die da verbocken.

Nja, die aktive Option Portfreigaben automatisch anlegen zu lassen, wird von der FritzBox eh ignoriert, da dort sowas nicht erlaubt wird.
So wäre es erstmal nicht schlimm, aber Letztens hatte wer vergessen SSH nach Nutzung wieder zu deaktivieren und zusätzlich war in der Fritzbox eine alte ungenutzte Portreigabe drin, die SSH mit enthilt, somit war die DS nach außen praktisch erreichar.
Und das zufällig dann, wenn so ein Bug existiert, den der Hersteller nichtmal automatisch fixt ... was wäre passiert, wenn ich die Meldung hier nicht zufällig bemerkt hätte? ... Ich hätte die nächsten Wochen/Monate vermutlich nicht nochmal ins DSM reingesehn.
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Bei dem Popup mit neuen vorgeschlagenen Firewall-Regeln hat er mir bei 'abbrechen' noch nie trotzdem eine Regel eingetragen.
Wenn du das wiederholt / reproduziert bekommst solltest du ein Ticket schreiben.

Oder ging es um die Liste an Portfreigaben in der 'Routerkonfiguration'? Kann ich keine Erfahrung beisteuern, da ich das noch nie genutzt habe.
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
624
Punkte
174

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Jupp, auf meinem privaten NAS wird nun auch das Update 5 zum Installieren angeboten.
Gestern/Nachts noch nicht, als ich grade nachsah, blinkte fast unscheinbar das rote Pünktchen.


@Fussion

Nochmal konnte ich es nicht nachstellen.
Hatte auch den Haken bei "nicht nochmal fragen" gesetzt und nun kommt dort (Einstellungen für Quickconnect) dieser Dialog nicht mehr.

Aber dass Ports oben in die Liste eingetragen werden und "alle" nachfolgen Vorgaben (Sperren) umgehen, das kann doch nicht richtig sein?
Wie schon jemand sagte "Da kannst die Firewall auch gleich aus lassen" :)
 
Zuletzt bearbeitet:

tommytom79

Benutzer
Mitglied seit
09. Sep 2013
Beiträge
605
Punkte für Reaktionen
13
Punkte
38
Ich habe heute über die Nacht das Update 5 über DSM angeboten bekommen, welches ich nun installiert habe. Die Version Update 4 hat er gleich übersprungen. Ich nehme doch stark an, dass der Inhalt von Update 4 auch im Update 5 enthalten ist?
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
ja, das Vorherrige ist jeweils mit drin ... sieht jedenfalls so aus, wenn man in die Versions-Datei in dem Paket reinsieht.

Ein NAS war noch auf 2 (3 gibt es schon seit einem Monat) und es hatte ich selbst auf 5 gebracht, weil das im Internet erreichbar ist, also Download und manuell installiert.
Das Andere war auf 3 und es hat mir vorhin von selbst das Update angeboten.
 

odol26

Benutzer
Mitglied seit
28. Apr 2014
Beiträge
148
Punkte für Reaktionen
2
Punkte
18
Seid heute Morgen auch ein Update für die 7.01 Version

Version: 7.0.1-42218 Update 3​




(2022-03-01)

Important Note

  1. The update is expected to be available in all regions shortly. If you want to update your DSM to this version now, please click here.
  2. This update will restart your Synology NAS.
Fixed Issues

  1. Fixed an issue where the SSD read-write cache might cause DSM to unexpectedly restart.
  2. Fixed an issue where users could still edit the shared folders that are being moved, potentially resulting in unexpected data deletion.
Aber nichts von einer Lückenbehebung wie bei 6.2 Update 5

Fixed multiple security vulnerabilities. (Synology-SA-22:03)
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Da kannst die Firewall auch gleich aus lassen

Die Reihenfolge der Regeln macht natürlich den Unterschied, ja das ist soweit klar.

Ich habe bisher immer gesagt, lege keine Regeln an, und dann hat er auch keine Regeln angelegt bei mir (sowohl mit DSM6 als auch DSM7). Evt. hat sich ja ein Admin (du oder wer anderer?) einmal verdrückt? Die Regel kann ja schon länger bestehen.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Von wann/wo/wem diese Regel kam, kann ich jetzt wohl nicht mehr rausbekommen.
Sind aktuell zwei Weitere, die in Frage kämen, oder auch ich irgendwann mal und in den letzten Jahren noch ein/zwei Andere, die ich nun nicht mehr fragen kann.

Aber die hatte ich gestern deaktiviert und als ich in den QuickconnectSettings war und ich nach dem Dialog dort nachsah, war eine neue Regel über der Deaktivierten drin.
Zumindestens das "Nicht nochmal fragen"-Häkchen scheint zu helfen.
 
Zuletzt bearbeitet:

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
DS118 DSM 7.0.1-42218 Upate 3 ohne Probleme und ohne Neustart der DS.
Bisher unauffällig.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
@Kurt-oe1kyw gibt hier noch ein 2 Topic dazu. Der Security Issue ist damit noch nicht behoben.
 

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
3.574
Punkte für Reaktionen
883
Punkte
174
arg, ich glaub ich weiß warum.

das erste :eek:
Danke, habe nachgesehen. Den Mist hatte ich in der Firewall meiner 218+ auch (und nur in der, die anderen Dsen sind nicht betroffen).
Ich habe keine Ahnung, wie die Regel (war an Stelle 3) dorthin gekommen ist. Ich hab sie weder geschrieben, noch kann ich mich erinnern, dass ich bei irgendeinem Update gefragt wurde, ob sie eingefügt werden soll. Spooky:oops:
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
  • Like
Reaktionen: Kurt-oe1kyw


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat