Toggle sidebar

Office 365 Sicherheitsproblem bei Synology Active Backup für Microsoft 365

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Duuuval

Duuuval

Benutzer
Registriert
05. Juni 2024
Beiträge
115
Reaktionspunkte
73
Punkte
84
Klar, aber das Verhalten seitens Synology, gerade gegenüber Businesskunden, ist doch sehr fragwürdig.
 
Warum?
 
Welches? Dass sie eine Sicherheitslücke schon vor über einem Monat geschlossen haben?
 
Ich habe als Businesskunde keine Information seitens Synology bekommen. Bei uns hängen da über 150 Konten dran. Den Datenschutzbeauftragten informiere ich noch heute. Danach wird geschaut ob etwas auffälliges vorliegt. Bei einem Verstoß müssen wir unsere Kunden informieren. Und dies sind wirklich große Firmen.
 
Wichtig ist das. Das sind zwei Monate ohne Info. Privat mag das alles noch verkraftbar sein, aber nicht als Businesskunde, der seinen Kunden gegenüber Rechenschaftspflichtig ist.

Disclosure Timeline

April 4, 2025modzero sends responsible disclosure report to Synology and requests CVE through Synology CNA
April 11, 2025modzero inquires whether report was received
April 14, 2025Synology confirms reception of the report, points out that submissions are only accepted via their Security Bug Bounty Program
April 14, 2025modzero inquires about CVE assignment
April 15, 2025Synology offered to reward modzero for the efforts, reserved CVE-2025-3695 for the vulnerability as a “one time exception”
April 23, 2025modzero clarifies report was not a submission for the bug bounty program, asks for description and CVSS vector of CVE-2025-3695
April 24, 2025Synology provides assessed description and CVSS vector
May 5, 2025modzero proposes adapting CVSS vector
May 7, 2025Synology declines proposal, provides reasoning
May 16, 2025Synology publishes vulnerability advisory with CVE-ID CVE-2025-4679
May 16, 2025modzero requests to update CVSS vector and description, provides justification
May 22, 2025modzero asks for response to the feedback
May 25, 2025Synology revises advisory to fix credits, refuses justification regarding vulnerability abstract and impact
June 27, 2025modzero publishes advisory and blog
[th]
Date
[/th][th]
Comment
[/th]
 
Ist doch aber ein gängiges Vorgehen, dass Lücken erst kommuniziert werden, wenn sie geschlossen sind, um Angreifer nicht anzulocken. Nicht nur bei Synology.

Oder informiert dich Goggle oder Apple über deren Sicherheitslücken vorher? Da siehst dann erst in den Release Notes der Patches.
 
@kachalkaiser
Da gebe ich dir Recht, aber so eine gravierende Lücke einfach über zwei Monate totzureden und sie in der CVE als „Moderat“ einzustufen, ist absolut nicht hinnehmbar. Von mir aus hätte ich einfach alles gestoppt und auf den Fix gewartet. Es ist ja nicht unser einzigstes Backup. Selbst unser Systemhaus wusste davon nix. Das habe ich damit aufgescheucht, und die schauen sich mal ihre ganzen Kunden an. Das ist echt nicht witzig. Da waren Schlüssel „frei“ zugänglich.
 
Bist du denn Businesskunde von Synology ?
 
@Kachelkaiser
Frag doch mal bei SAP, BASF, Mercedes Benz etc. nach. Ich kenne da einige Admins, und sie bekommen von MS, Adobe, SAP etc. das relativ schnell mitgeteilt. Wir sind dazu zu klein, und die privaten User bekommen diese Infos zum Schluß.

Das Loch finde ich so groß, das da Tür und Tor geöffnet waren, ohne die User zu informieren.

Aber sei‘s drum. Betrifft ja wahrscheinlich, wenn überhaupt, nur wenige.

Ich wollte auch keine Grundsatzdiskussion anfangen, aber wenn ich hier im Forum sehe was da an Sicherheitsempfehlungen gegeben werden, die ich absolut unterschreiben würde, finde ich das doch ein sehr fragwürdiges Verhalten.

Aber ist jetzt auch gut. Ich wollte ja nur eine Info teilen und kein Fass aufmachen.

Grüße Sven
 
  • Like
Reaktionen: Kachelkaiser
@Jagnix
Ja, sonst würde ich es nicht schreiben. Das wurden wir bzgl. Der HD6500 in HA.

Bei den kleinen natürlich nicht. Und genau das ist das, was mich ärgert.

Grüße Sven
 
  • Like
Reaktionen: Jagnix
Ich glaube kaum, dass Synology hier die Möglichkeit hatte alle Kunden zu informieren und da sind die in meinen Augen nach nicht dazu verpflichtet, weder nach EU-DSGVO noch nach deren AGBs.
 
  • Like
Reaktionen: Benie und ctrlaltdelete
Verpflichtend wird es nicht sein, aber jetzt bleibt die Arbeit die Logs zu untersuchen und gegebenenfalls zu melden, erst mal an uns hängen.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten