Photo Station Jetzt patchen: Synology-NAS über Fotoalbum angreifbar vom 27.05.2015

[Ha34Meiner]

Jetzt patchen: Synology-NAS über Fotoalbum angreifbar

Synologys Web-Fotoalbum Photo Station gewährt Angreifern ungewollt Zugriff auf DiskStation NAS-Systeme. Wer nicht will, dass Fremde beliebigen Code auf dem eigenen NAS ausführen, sollte den Patch des Herstellers jetzt einspielen.

Synology hat eine schwerwiegende Sicherheitslücke[1] in seiner Software für DiskStation NAS-Geräte geschlossen. Die Fotogalerie-App Synology Photo Station[2] lässt sich dazu missbrauchen, beliebigen Code mit den Rechten des Webservers auf dem NAS auszuführen. Dazu muss ein Angreifer nur wissen, wo im Netz die App gehostet wird und sein Opfer dann auf eine präparierte Webseite locken.

Photo Station dient dazu, Bilder vom NAS im Internet als Fotoalbum anzuzeigen. Allerdings überprüft die App eingehende Daten nicht richtig und kann deswegen von Angreifern mit manipulierten POST-Requests ausgetrickst werden. Dies ist möglich, da Photo Station einen Parameter aus dem Request ungeprüft über den exec()-Befehl von PHP ausführt. Mangelnder Schutz vor Cross-Site Request Forgery (CSRF) führt außerdem dazu, dass Angreifer dies sehr einfach ausnutzen können.

Synology hat die Lücke mit Version 6.3-2945[3] von Photo Station geschlossen. Laut des Sicherheitsforschers, der den Bug entdeckt hat, sind alle Ausgaben der Software seit mindestens Version 6.2-2858 betroffen.

URL dieses Artikels:

http://www.heise.de/security/meldun...y-NAS-ueber-Fotoalbum-angreifbar-2668853.html



Links in diesem Artikel:

[1] https://www.securify.nl/advisory/SF..._vulnerability_in_synology_photo_station.html
[2] https://help.synology.com/dsm/?section=DSM&version=5.2&link=MainMenu/personalphoto.html
[3] https://www.synology.com/en-us/releaseNote/PhotoStation
[4] mailto:fab@heise.de

 

[dil88]

Danke für den Hinweis!

 

[Frogman]

Die Version 6.3-2945 gibt's ja auch bereits seit dem 19.5. - sie haben da sehr schnell reagiert.

 

[till213]

Die Version 6.3-2945 gibt's ja auch bereits seit dem 19.5. - sie haben da sehr schnell reagiert.

Hmmm, "jein": es ist üblich, dass Sicherheitslücken vom (netten!) Entdecker erst dann veröffentlicht werden, nachdem sie an den Hersteller gemeldet wurden, diesem eine "grace period" gewährt wurde (z.B. Google: 90 Tage), der Hersteller den bug gefixt hat, den patch zur Verfügung gestellt hat - DANN erst wird darüber in der Oeffentlichkeit berichtet.

 

[till213]

Gehe ich richtig in der Annahme, dass dieser Bock auch dann geschossen werden kann, wenn ich ausser VPN keine Netzwerkdienste (QuickConnect, "Netzwerk") aktiviert habe? Es reicht also, wenn ich eine HTML Seite aufrufe, und diese mit einer LOKALEN IP (die erraten ist - aber das dürfte in vielen Fällen kein Problem sein) 192.168.x.y den POST request absetzt?

Mit anderen Worten: es reicht, dass die PhotoStation installiert (und mindestens einmal aufgerufen, d.h. "konfiguriert" ist) ist?

Zum zweiten: ich habe bei mir (bewusst) noch die DSM 4.3 am laufen. Dort ist die PhotoStation 6.0.x aktuell. Ich gehe davon aus, dass die ebenfalls besagten exec() Aufruf ohne Parameterüberprüfung (autsch! Synology!) drin hat und deshalb angreifbar ist. Kann das wer bestätigen? Es liegt aber kein PhotoStaiton Update vor. Ist die DSM 4.3 nun "offiziell" nicht mehr unterstützt, gibt es da ein statement seitens Synology? Bis jetzt hatte ich angenommen (nun ja, gehofft), dass sicherheitskritische fixes immer noch runtergebranched werden...

Danke.

 

[dil88]

Ich verstehe den Text so, das es Zugriff aus dem Internet auf die Photo Station geben und insofern eine Portweiterleitung existieren muss. Was DSM 4.3 anbetrifft, gehts mir wie Dir. Da kommt schon eine Weile nichts mehr, da müssen wir wohl 'ran.

 

[till213]

Ich verstehe den Text so, das es Zugriff aus dem Internet auf die Photo Station geben und insofern eine Portweiterleitung existieren muss.

Aber wenn du dir den exploit proof of concept einmal anschaust: https://www.securify.nl/advisory/SF..._vulnerability_in_synology_photo_station.html

<html>
<body>
<form action="http://<target>/photo/webapi/photo.php" method="POST">
...

Diese "bösartige Webseite" surftst du nun unbedarft an (z.B. durch Klicken auf einen "falschen link" in einer Email oder Webseite - ist schneller passiert, als man den browser cache leeren kann!). Und unter <target> steht nun eine - erratene! Aber das ist oftmals nicht sehr schwer - LOKALE IP Adresse 192.168.x.y.

Da es nun DEIN browser ist, der diesen HTML Code interpretiert, schickt nun auch DEIN browser den POST request an besagte 192.168.x.y (also die LOKALE Adresse deiner Synology!). Und DEIN browser auf DEINEM Rechner ist typischerweise auch in DEINEM LOKALEN Netzwerk, wo die DiskStation erreichbar ist.

Und wie ich den exploit verstanden habe, braucht es eben dann bloss eine installierte PhotoStation, und *bang*! werden auf selbiger beliebige Kommandos mit Benutzerrechten des "HTTP Benutzers" ausgeführt (oder sooo). Die Diskstation muss also NICHT von aussen erreichbar sein!

So habe ich das zumindest verstanden (und gerade mal remote via VPN meine DiskStation zuhause abgeschaltet, bis da Klarheit herrscht - werde den proof of concept exploit einmal ausführen - bei gezogenem Internetstecker )

 

[Frogman]

Hmmm, "jein": es ist üblich, dass Sicherheitslücken vom (netten!) Entdecker erst dann veröffentlicht werden, nachdem sie an den Hersteller gemeldet wurden, diesem eine "grace period" gewährt wurde (z.B. Google: 90 Tage), der Hersteller den bug gefixt hat, den patch zur Verfügung gestellt hat - DANN erst wird darüber in der Oeffentlichkeit berichtet.

Da erzählst Du nichts Neues. Doch Du solltest wissen, dass Synology (wie auch viele andere Hersteller) deswegen nicht schneller reagieren. Und wenn Du einen Blick auf die vorherige Version 6.3-2944 werfen würdest, dann hättest Du bemerkt, dass diese erst gut eine Woche vor der -2945 herausgekommen ist. Synology wird somit kaum wesentlich früher informiert worden sein, denn ansonsten wäre der Fix schon in der 2944 gewesen

 

[till213]

Da erzählst Du nichts Neues. Doch Du solltest wissen, dass Synology (wie auch viele andere Hersteller) deswegen nicht schneller reagieren.

Auf genau das wollte ich ja eigentlich hinaus Ich hatte ja auf den Kommentar reagiert, der sich gefreut hatte, dass der fix "so schnell" verfügbar war. Aber im Allgemeinen kann man basierend auf der Verfügbarkeit eines fixes bzw. dem Veröffentlichen der Lücke eben keine Rückschlüsse machen, wie schnell der Hersteller tatsächlich reagiert hat - da können durchaus Wochen dabei vergangen sein.

In diesem Fall scheint es tatsächlich so, dass da schnell reagiert wurde. Der Fix dürfte wohl auch extrem trivial gewesen sein: "Überprüfe die verdammten BENUTZER-Eingaben, bevor du das mir-nichts-dir-nichts an einen exec() call übergibst!" - dafür hat der verantwortliche Entwickler hoffentlich mächtig Prügel vom Chef bekommen

 

[Frogman]

...In diesem Fall scheint es tatsächlich so, dass da schnell reagiert wurde.

Auf genau das wollte ich ja hinaus (denn ich habe vor meinem Post in die Release Notes und das Serververzeichnis mit den Versionen geschaut... ) - und nichts anderes habe ich oben geschrieben!

 

[till213]

Auf genau das wollte ich ja eigentlich hinaus Ich hatte ja auf den Kommentar reagiert...

Ach sooooo! Jetzt verstehe ich erst: Der ursprüngliche Kommentar war ja von DIR "Die Version 6.3-2945 gibt's ja auch bereits seit dem 19.5. - sie haben da sehr schnell reagiert. " - Und du hattest dich ja bereist auf die VOR-Version bezogen, was impliziert, dass sie in diesem Fall wohl tatsächlich schnell reagiert hatten

 

[till213]

Auf genau das wollte ich ja hinaus (denn ich habe vor meinem Post in die Release Notes und das Serververzeichnis mit den Versionen geschaut... ) - und nichts anderes habe ich oben geschrieben!

Ja, alles klar jetzt Ich bin halt noch in der DSM 4.3 Welt und deshalb völlig nicht im Bilde, welche 5.2.x releases gerade aktuell sind.

Was mich auch gerade wieder zurück zu meiner ursprünglichen Frage bringt: ist bekannt, dass die DSM 4.3.x "offiziell" nicht mehr mit Sicherheitsfixes versorgt werden? Das letzte Update ist vom September letzten Jahres. Gibt es da ein statement von Synology?

Ich gehe schwer davon aus, dass die bei mir installierte PhotoStation 6.0.x ebenfalls davon betroffen ist, und es liegen keine updates vor. Und wie ich vorhin schon angedeutet habe reicht es wohl, dass

a) PhotoStation installiert ist
b) Die DiskStation muss nicht von aussen her erreichbar sein (QuickConnect, HTTP Dienste, Router-Port-Weitergabe etc.)
c) man eine bösartige Webseite aufruft, welche die LOKALE IP der DiskStation errät: 192.168.x.y und der bösartige POST request dann vom LOKALEN Browser an die DiskStation gesendet wird -> *bamm!*


Werde mich wohl über den aktuellen Bock in der DSM 5.2 bezüglich "Festplatten gehen nicht mehr schlafen" (und somit ist auch mein "Deep Sleep" meiner DS413 wieder für die Katz') ärgern und wohl jetzt auf die 5er aktualisieren müssen...

 

[dil88]

Das letzte mir bekannte Statement seitens des Synology Supports lautete, dass DSM 4.3 noch supportet werde, sie aber den Umstieg auf die aktuelle DSM-Version (damals 5.1) empfehlen. Dass es seitdem eine Fülle von Security-Updates für DSM 5.0 und 5.1 gegeben hat, dürfte bekannt sein. Selbst für DSM 4.2 gab es kürzlich ein Update, aber kein einziges mehr für DSM 4.3 seit 3827 Update 7.

 

[Frogman]

Was mich auch gerade wieder zurück zu meiner ursprünglichen Frage bringt: ist bekannt, dass die DSM 4.3.x "offiziell" nicht mehr mit Sicherheitsfixes versorgt werden? Das letzte Update ist vom September letzten Jahres. Gibt es da ein statement von Synology?
...

Ich denke, im Allgemeinen werden sie die auslaufen lassen - wobei das Ganze im Einzelfall auch überdacht wird. Wenn eine Lücke auftaucht und der öffentliche Druck (gerade auch von Firmenkunden) groß genug ist, liefern sie dann vermutlich auch noch nach (bspw. war das ähnlich auch mit Releases für die DSx10er-Reihe, die eigentlich schon ausgelaufen war).

 

[JoGi65]

Zeigt mir, dass meine Lösung die Photo-Webstation auf einer eigenen DS in einem eigenen IP Kreis auszuführen gar nicht so Dumm war.

 

[till213]

Zeigt mir, dass meine Lösung die Photo-Webstation auf einer eigenen DS in einem eigenen IP Kreis auszuführen gar nicht so Dumm war.

Was bitteschön soll denn "ein eigener IP Kreis" sein? Ein in sich abgeschlossenes System, wo KEIN Teilnehmer (Computer, Mobilphon, ...), der Zugriff auf die DS hat, auch Zugriff auf das Internet hat?

Falls nur EIN Teilnehmer ("DS Client") Zugriff auf WWW hat, dann bist du genauso angreifbar! Siehe meine vorhergehenden posts bezüglich dem proof of concept exploit (der jetzt jedem bekannt ist).

Falls du meinst, durch geschickte Wahl einer LOKALEN IP (192.168.x.y) seiest du sicher, dann liegst du auch dann falsch: lokale IP Adressen der DS können "erraten" oder brute force einfach durchprobiert werden (bei 10.x.y.z lokalen IPs gibt es ein bissl mehr zu raten bzw durchzuprobieren, aber auch hier: "security by obscurity"! Und die meisten (Heim-)Anwender sind nicht sooooo kreativ, um sich eine (fixe) IP für ihre DS auszudenken...

 

[JoGi65]

Ich hätte das so verstanden, dass die DS dann in mein Netz will, oder? (mein Englisch ist nicht so gut) Und das kann sie nicht. Das die DS flöten geht, ok. Da läuft ja nichts ausser dem Web Server und der Photo Station.

 

[till213]

Ich hätte das so verstanden, dass die DS dann in mein Netz will, oder? (mein Englisch ist nicht so gut) Und das kann sie nicht. Das die DS flöten geht, ok. Da läuft ja nichts ausser dem Web Server und der Photo Station.

Deine DiskStation IST bereits in deinem Netz! Die muss da nicht erst hereinwollen. Will heissen: Netzwerkpakete, die in deinem heimischen WLAN oder LAN rumwandern, "sieht" auch die DiskStation. Normalerweise verwirft jeder Netzwerkklient IP Pakete, die nicht an ihn gerichtet sind - normalerweise! Aber wenn man ein Gerät in den sogenannten "promiscuous mode" versetzt, kann man jedes Netzwerkpaket mitlesen.

Also wenn dir die DiskStation bzw. die Daten darauf selber egal ist, ist das eine Sache. Aber wenn eine bösartige Software sich dort einnisten kann (abhängig davon, was der DiskStation-Benutzer "webserver" für Rechte hat, das weiss ich jetzt gerade auch nicht - aber der exploit läuft mit dessen Rechten), und nur schon Spam von Deiner DiskStation aus versendet, dann ist das übel! Und wenn sie es noch schaft, deinen lokalen Netzwerk-Verkehr "mitzuhören", ist das ganz und gar nicht in deinem Interesse! Eigentlich sollten da bei dir sämtliche Alarmglocken volle Pulle klingeln, wenn sich da ein "Fremdling" in irgendeines Deiner Gerätschaften einnisten kann (auch Router sind mehr und mehr beliebte Angriffsziele - und die meisten Leute wissen gar nicht, wie man die updated - wenn der Hersteller überhaupt updates zur Verfügung stellt!).

Kurz: du willst nicht, dass du durch blosses Ansurfen einer "bösartigen Webseite" Schadcode auf deiner DiskStation ausgeführt wird - egal, wie egal dir die Daten dort sind! In den letzten Jahren machen solche "Schädlinge" auch nicht einfach deine Daten dort kaputt (wie ganz früher(tm) Viren und Co.) - das wäre viel zu auffällig! Nein, heutzutage ist es finanziell viel lukrativer, "unentdeckt" zu bleiben, um z.B. als "command & control" Client andere Seiten anzugreifen, "bitcoins" zu schürfen (auf Kosten deiner Stromrechnung, versteht sich), SPAM zu verschicken, versuchen, deine Passwörter abzugreifen etc. etc. - und all das kann - in der Theorie - alles von deiner DiskStation aus ausgehen.

Weil noch einmal: die IST bereits in deinem Netzwerk (sonst könntest du ja nicht von deinen Computern etc. darauf zugreifen - ausser, du hast die wirklich in einer DMZ stehen und greifst bloss via VPN und so zu, oder was weiss ich)...

 

[till213]

Kann es sein, dass die DSM 4.3.x mit PhotoStation 6.0.x nicht betroffen ist?

Gerade habe ich den proof of concept gemäss

https://www.securify.nl/advisory/SF..._vulnerability_in_synology_photo_station.html

  <form action="http://<target>/photo/webapi/photo.php" method="POST">

ausgeführt, nachdem ich <target> mit meiner lokalen IP Adresse der DiskStation ersetzt hatte.

(Also konkret: besagtes HTML in eine lokale *.html Textdatei kopiert, editiert und dann im Firefox ausgeführt)

<input type="hidden" name="description" value="| cat /etc/passwd > /var/services/photo/Securify.txt " />

Hier hätte ich jetzt erwartet, dass wenn ich die FORM POSTe ("Submit request"), dass dann die Datei /etc/passwd nach /var/services/photo/Securify.txt kopiert wird.

Das ist bei mir aber offenbar nicht geschehen! Ich habe mich via ssh in meine DS eingeloggt, in besagtes Verzeichnis geschaut (vorher und nachher), keine Änderung:

DiskStation> cd /var/services/photo/
DiskStation> ls -la
drwxrwxrwx    8 root     root          4096 May 26 22:22 .
drwxr-xr-x   18 root     root          4096 May 27 20:22 ..
drwxrwsrwt    4   users         4096 May 26 22:22 .TemporaryItems
-rwxrwxrwx    1   users          291 May  7  2011 .apdisk
drwxrwxrwx    3 root     users         4096 Apr 29 18:45 @eaDir
drwxrwsrwx    3   users         8192 Aug 28  2014 Cities
drwxrwsrwx    7   users         4096 Aug 27  2014 Familie
drwxrwsrwx   14   users         4096 Mar 12 23:17 Reisen
drwxrwsrwx    5   users         4096 Apr 25 21:37 Film Festival
DiskStation>

Gerade durchsuche ich / mittels

grep -r . -e "UpdateDescriptionMetadata"

Dies ist offenbar die Funktion, welche den Fehler beinhaltet. Bis jetzt dauert die Suche noch an, aber keine Treffer bis anhin.

Ich bin kein PHP Experte, aber meines Wissens wird PHP interpretiert, und nicht kompiliert, richtig? Da sollte also irgendwo eine *.php im Klartext mit besagtem Funktionsnahmen im DSM liegen - wenn diese Funktion da ist!

Kann es sein, dass diese Funktion erst in einer späteren PhotoStation Version >= 6.1 eingeführt wurde, und 6.0.x (DSM 4.3.x) somit nicht betroffen sind? Das würde auch erklären, weshalb für DSM 4.3 bzw. diese PhotoStation Version kein Update verfügbar ist

 

[Puppetmaster]

Du könntest auch einfach ein Ticket bei Synology eröffnen und die Entwickler direkt fragen. Sie werden es wohl am besten wissen.