Besitzer von Synology-Geräten, aufgepasst. Das Unternehmen schließt weitere Pwn2Own-Sicherheitslücken. Das betrifft sowohl einige Pakete der Software als auch die Betriebssysteme Synology DSM und BeeStationOS für die BeeStation. Zum Zeitpunkt unserer Veröffentlichung sind die Systemseiten noch ohne Hinweis auf das Update, aber auf den Servern findet man schon die neuen Dateien, des Weiteren sind die jeweiligen Security Advisiorys raus. Beispielsweise ist DSM 7.2.2-72806-1 erschienen und patcht kritische Schwachstellen, wer noch auf Version 7.1 ist, muss auf das Update warten. Innerhalb der nächsten 30 Tage will man da Updates anliefern.
Zur Meldung Synology-SA-24:20 DSM (PWN2OWN 2024): Die erste Schwachstelle, gelistet als ZDI-CAN-25403, eröffnet Angreifern die Möglichkeit, aus der Ferne beliebigen Code auf betroffenen Systemen auszuführen. Eine weitere Sicherheitslücke, ZDI-CAN-25487, ermöglicht es Angreifern, die sich in einer Man-in-the-Middle-Position befinden, administrative Sitzungen zu übernehmen. Bei einem Man-in-the-Middle-Angriff positioniert sich der Angreifer zwischen zwei kommunizierenden Parteien und kann den Datenverkehr abfangen und manipulieren.
Die dritte Schwachstelle, ZDI-CAN-25613, gestattet es Angreifern, aus der Ferne auf bestimmte Dateien zuzugreifen und diese zu lesen. Diese Art von Schwachstelle kann zur Offenlegung sensibler Informationen führen. Die vierte identifizierte Sicherheitslücke, ZDI-CAN-25617, ermöglicht es Angreifern in unmittelbarer Netzwerknähe, durch einen Man-in-the-Middle-Angriff bestimmte Dateien zu manipulieren.
Wer sein NAS da im Netz hat, sollte also vielleicht die Augen aufhalten, wenn die Updates ankommen, bzw. manuell tätig werden.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.