Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities

[fbartels]

Hallo,

ich bin gerade über den folgenden Artikel getoßen und dachte es interessiert vielleicht den ein oder anderen: http://www.exploit-db.com/exploits/28243/

Da es kein wirkliches allgemeines oder Security bezogenes Unterforum gibt, hoffe ich der Link ist hier gut aufgehoben.

 

[Matthieu]

Die Code Injection kann mal passieren - man sollte es nur schnell genug fixen. Aber die "Remote file download" ist schon etwas peinlich.
Leider steht dort nicht, ob es Synology gemeldet wurde. Ein Whitehat scheint es damit nicht zu sein ...

MfG Matthieu

PS: Darf man fragen wie du auf den Link gestoßen bist?

 

[jahlives]

Ziemlich unschöne Sachen sind da drin. Da hat Synology wirklich gegen absolute Grundlagen der Verarbeitung von Userinput verstossen. Sorry aber das ist eigentlich schon peinlich!
Ich nehme nicht an, dass der Finder der Lücken erst Synology informiert hat. Zumindest kann ich davon nichts im Report sehen. Auch nicht wirklich die feine Art.

@matthieu
ich finde die Command Injection auch nicht ganz so tragisch, weil man dazu ja admin sein muss und dann hat man im DSM eh root Rechte. Aber dass Synology den übergebenen String scheinbar nicht wirklich prüft gibt mir sehr zu denken


Habe den Beitrag mal oben festgepinnt

 

[fbartels]

Ich habe diverse Security Listen im Abo um im Fall der Fälle reagieren zu können. Ich würde jetzt für diese spezielle Quelle zwar nicht meine Hand ins Feuer legen habe dort aber auch schon Exploits mit dem explizien Hinweis eines versuchten Herstellerkontakts gesehen.

Da man für die aufgezeigten Angriffe zumindest angemeldet sein muss, ist dies wohl für einen Großteil der Nutzer weniger tragisch in Unternehmensumgebungen sieht das allerdings anders aus. Schauen wir also mal wie Synology darauf reagiert.

 

[Matthieu]

Ich war mal so frei es zu melden. Es gibt auf der Webseite des "Hackers" noch eine Meldung über QNAP die ungefähr ein Jahr alt ist.

MfG Matthieu

 

[jahlives]

Ich persönlich finde, dass man auf jeden Fall vor dem publik-machen solcher Lücken den Hersteller informiert haben muss und ihm auch die Zeit gibt darauf zu reagieren (z.B. durch Patches). Erst wenn das nichts gebracht hat finde ich es okay wenn die Lücken publiziert werden (v.a. inkl Proof-of-Concept)

 

[rauppe31]

Ich nehme mal an, dass diese Lücke in den älteren DSM-Versionen ebenfalls existiert?

 

[Matthieu]

Ich nehme mal an, dass diese Lücke in den älteren DSM-Versionen ebenfalls existiert?

http://t.co/TaGkbOKy5N
Unten auf dem Screenshot ist "4.2" zu lesen.

MfG Matthieu

 

[süno42]

Dies bestätigt mich nur in meiner bereits kundgetanen Sichtweise über Synologys Softwarequalität und deren Sensibilisierung für Sicherheit. Unter diesen Gesichtspunkten würde ich mir zukünftig wohl keine Diskstation mehr kaufen. Dann lieber einen nativen Linuxserver ohne bunte Oberfläche.

Viele Grüße
Süno42

Nachtrag:
Ich habe mir die Beschreibung mal genau durchgelesen und muß sagen, solche Fehler dürfen eigentlich nicht passieren. Hier hat Synology einige Regeln der Softwareentwicklung grundlegend nicht beachtet. Ich meine damit nicht, daß Fehler grundsätzlich nicht passieren dürfen. Ich wage aber mal zu behaupten, daß Synology die Software in Fernost von billigen Hobby-Entwicklern fertigen läßt, die keinen blassen Schimmer haben, was sie dort tun.

Nachtrag2:
Ich habe noch einen ganz dicken Fisch für euch. Wer ihn zuerst komplett runterlädt, hat sich ein Bier verdient

https://diskstation:5001/webman/wallpaper.cgi?path=2F7573722F73796E6F2F73796E6F6D616E2F7765626D616E2F2E2E2F2E2E2F2E2E2F2E2E2F6465762F7572616E646F6D
​

 

[jahlives]

@matthieu
hälst du uns auf dem laufenden falls sich Syno meldet und allenfalls Patches hat?

 

[Matthieu]

@matthieu
hälst du uns auf dem laufenden falls sich Syno meldet und allenfalls Patches hat?

Ich vermute mal dass die entdeckten Lücken der Grund sind, warum Synology den ersten Patch um eine Woche verschoben hat.

@süno42: Ich frag mich über wie viele Firmen du so denkst. Ich hab letztens einen Bericht gelesen wie jemand ein Embedded-System geknackt hat über, surprise, genau solche Lücken (v.a. mangelhafte Pfad-Checks - und zwar ohne die Pfade vorher kodieren zu müssen).

MfG Matthieu

 

[jahlives]

Ich finde so was wie Command Injections durch Userinput lassen sich "so einfach" verhindern, dass es mich schon nachdenklich stimmt. Klar kann das jedem mal passieren, aber es ist ja nicht die erste solche Lücke bei Syno. Ich erinnere da an die FTP Sache wo ich plötzlich YouTube im DSM gucken konnte

 

[Puppetmaster]

Dies bestätigt mich nur in meiner bereits kundgetanen Sichtweise über Synologys Softwarequalität und deren Sensibilisierung für Sicherheit. Unter diesen Gesichtspunkten würde ich mir zukünftig wohl keine Diskstation mehr kaufen. Dann lieber einen nativen Linuxserver ohne bunte Oberfläche.

Wobei ich mich ja auch die ganze Zeit bereits frage, weswegen du überhaupt eine Synology (resp. ein "Home"-NAS) gekauft hast, denn unter deinen Gesichtspunkten ähneln sie sich doch alle.
Wenn du etwas wirklich sicheres haben möchtest, dann solltest du es auch selbst aufsetzen. Dann mußt du dir letztlich den Schuh auch selbst anziehen, wenn es doch nicht so sicher war wie gedacht.

Du scheinst mir einfach nicht zur Zielgruppe zu gehören. Btw. denke ich das aber auch von Unternehmen, denn die "professionellen" DS und RS von Synology basieren ja auf der gleichen Firmware wie die günstigesten Home-DS. Als Unternehmen würde ich mich auch keiner Synology anvertrauen.

 

[Matthieu]

Du scheinst mir einfach nicht zur Zielgruppe zu gehören. Btw. denke ich das aber auch von Unternehmen, denn die "professionellen" DS und RS von Synology basieren ja auf der gleichen Firmware wie die günstigesten Home-DS. Als Unternehmen würde ich mich auch keiner Synology anvertrauen.

Was nutzt denn ein Unternehmen?
- Speicher für Virtualisierung: Dafür kann ich nix sagen, weil ich das aus der praktischen Anwendung nicht kenne.
- Fileshare: Da steht etablierte Software wie Samba dahinter der ich die notwendige Sicherheit und Stabilität zutraue.
Viel mehr nutzen Großunternehmen wohl kaum. Der DSM ist nicht mehr als ein Admin-Tool dass dort per Firewall für das nicht-administrative Netz gesperrt werden sollte.

MfG Matthieu

 

[Puppetmaster]

@Matthieu
Mir geht's dabei eher darum, was Synology als vermeintliche Final-Version einer Firmware auf die Kundschaft loslässt. Das dazu unter dem Ratschlag, immer die aktuellste Version installiert zu haben.
Leider sind die Finals i.d.R. erst die echten Betas. Da hätte ich in einem sensiblen, wirtschaftlich denkendem Unternehmen einfach keinen Nerv zu.

 

[raymond]

Als Unternehmen kann man sich schon eine Synology holen. Nicht bei jedem Unternehmen ist diese auch von extern erreichbar oder nur über VPN.

Das mit der Final, die eigentlich Beta Status hat, muss ich leider diesmal zustimmen. Es ist das erste mal, dass ich mit der Final und Beta massive Probleme hatte.

 

[jahlives]

- Speicher für Virtualisierung: Dafür kann ich nix sagen, weil ich das aus der praktischen Anwendung nicht kenne.
- Fileshare: Da steht etablierte Software wie Samba dahinter der ich die notwendige Sicherheit und Stabilität zutraue.
Viel mehr nutzen Großunternehmen wohl kaum. Der DSM ist nicht mehr als ein Admin-Tool dass dort per Firewall für das nicht-administrative Netz gesperrt werden sollte.

also ganz ehrlich ich würde niemals eine DS (egal wie gross) für unsere Server und virtuellen Maschinen verwenden. Als Privatperson okay, aber für eine Firma? Gerade wenn man viele Server hat? Niemals Die Storages, die in dieses Umfeld gehören sind in einer andern Liga verglichen mit Syno. Unsere Storages (12TB) kosten vollbestückt ca 90'000 CHF.

Beim Filesharing im internen Netz stimm ich dir zu, das kann eine entsprechend abgesicherte DS sicher auch im Firmenumfeld leisten. Allerdings sehe ich ein bisschen ein Problem darin, dass auf einer DS per default so viele Dienste laufen. Die meisten davon wird man im Firmenumfeld kaum brauchen und nicht alles lässt sich via DSM deaktivieren

 

[kaylark]

Könnt ihr das mal auf deutsch übersetzen (für Laien)? Worin besteht die Gefahr?

 

[süno42]

Könnt ihr das mal auf deutsch übersetzen (für Laien)? Worin besteht die Gefahr?

Kurz zusammengefaßt, Personen die Zugriff auf Deine Diskstation haben (teilweise reicht eine Zugriffsmöglichkeit auf die Anmeldemaske im Webbrowser ohne Anmeldung aus), können Dir Daten stehlen.

Bei DSM 4.2 kommt hinzu, daß diese Software für CSRF-Angriffe anfällig ist, was nicht bedeuten muß, daß DSM 4.3 besser schützt. Es reicht im Prinzip aus, daß Du im Browser eine Webseite aufrufst, die selbst versteckt auf Deine Diskstation zugreift. So können Deine privaten Daten mit wenig Aufwand unkontrolliert in die weite Welt (Internet) gelangen.


Viele Grüße
Süno42

 

[süno42]

@süno42: Ich frag mich über wie viele Firmen du so denkst. Ich hab letztens einen Bericht gelesen wie jemand ein Embedded-System geknackt hat über, surprise, genau solche Lücken (v.a. mangelhafte Pfad-Checks - und zwar ohne die Pfade vorher kodieren zu müssen).

Ich weiß nicht, ob ich Dich jetzt richtig verstanden habe, aber ich habe schon so einiges gesehen, und meistens sind es die gleichen Probleme. Ich beobachte, daß Programmierer, die nur mit (streng) typsicheren Programmiersprachen wie Java arbeiten, beispielsweise kein Wissen über Pufferüberläufe und deren Gefahren kennen. Wenn sich dann jemand auf fremden Terrain bewegt, kann so etwas leicht passieren.


Viele Grüße
Süno42