Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities

fbartels

Benutzer
Mitglied seit
19. Mrz 2013
Beiträge
284
Punkte für Reaktionen
2
Punkte
24
Hallo,

ich bin gerade über den folgenden Artikel getoßen und dachte es interessiert vielleicht den ein oder anderen: http://www.exploit-db.com/exploits/28243/

Da es kein wirkliches allgemeines oder Security bezogenes Unterforum gibt, hoffe ich der Link ist hier gut aufgehoben.
 
Zuletzt bearbeitet von einem Moderator:

Matthieu

Super-Moderator
Teammitglied
Mitglied seit
03. Nov 2008
Beiträge
13.198
Punkte für Reaktionen
81
Punkte
344
Die Code Injection kann mal passieren - man sollte es nur schnell genug fixen. Aber die "Remote file download" ist schon etwas peinlich.
Leider steht dort nicht, ob es Synology gemeldet wurde. Ein Whitehat scheint es damit nicht zu sein ...

MfG Matthieu

PS: Darf man fragen wie du auf den Link gestoßen bist?
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
Ziemlich unschöne Sachen sind da drin. Da hat Synology wirklich gegen absolute Grundlagen der Verarbeitung von Userinput verstossen. Sorry aber das ist eigentlich schon peinlich!
Ich nehme nicht an, dass der Finder der Lücken erst Synology informiert hat. Zumindest kann ich davon nichts im Report sehen. Auch nicht wirklich die feine Art.

@matthieu
ich finde die Command Injection auch nicht ganz so tragisch, weil man dazu ja admin sein muss und dann hat man im DSM eh root Rechte. Aber dass Synology den übergebenen String scheinbar nicht wirklich prüft gibt mir sehr zu denken


Habe den Beitrag mal oben festgepinnt
 
Zuletzt bearbeitet:

fbartels

Benutzer
Mitglied seit
19. Mrz 2013
Beiträge
284
Punkte für Reaktionen
2
Punkte
24
Ich habe diverse Security Listen im Abo um im Fall der Fälle reagieren zu können. Ich würde jetzt für diese spezielle Quelle zwar nicht meine Hand ins Feuer legen habe dort aber auch schon Exploits mit dem explizien Hinweis eines versuchten Herstellerkontakts gesehen.

Da man für die aufgezeigten Angriffe zumindest angemeldet sein muss, ist dies wohl für einen Großteil der Nutzer weniger tragisch in Unternehmensumgebungen sieht das allerdings anders aus. Schauen wir also mal wie Synology darauf reagiert.
 

Matthieu

Super-Moderator
Teammitglied
Mitglied seit
03. Nov 2008
Beiträge
13.198
Punkte für Reaktionen
81
Punkte
344
Ich war mal so frei es zu melden. Es gibt auf der Webseite des "Hackers" noch eine Meldung über QNAP die ungefähr ein Jahr alt ist.

MfG Matthieu
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
Ich persönlich finde, dass man auf jeden Fall vor dem publik-machen solcher Lücken den Hersteller informiert haben muss und ihm auch die Zeit gibt darauf zu reagieren (z.B. durch Patches). Erst wenn das nichts gebracht hat finde ich es okay wenn die Lücken publiziert werden (v.a. inkl Proof-of-Concept)
 

rauppe31

Benutzer
Mitglied seit
06. Jun 2011
Beiträge
2.734
Punkte für Reaktionen
0
Punkte
0
Ich nehme mal an, dass diese Lücke in den älteren DSM-Versionen ebenfalls existiert?
 

Matthieu

Super-Moderator
Teammitglied
Mitglied seit
03. Nov 2008
Beiträge
13.198
Punkte für Reaktionen
81
Punkte
344

süno42

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
224
Punkte für Reaktionen
0
Punkte
0
Dies bestätigt mich nur in meiner bereits kundgetanen Sichtweise über Synologys Softwarequalität und deren Sensibilisierung für Sicherheit. Unter diesen Gesichtspunkten würde ich mir zukünftig wohl keine Diskstation mehr kaufen. Dann lieber einen nativen Linuxserver ohne bunte Oberfläche.

Viele Grüße
Süno42

Nachtrag:
Ich habe mir die Beschreibung mal genau durchgelesen und muß sagen, solche Fehler dürfen eigentlich nicht passieren. Hier hat Synology einige Regeln der Softwareentwicklung grundlegend nicht beachtet. Ich meine damit nicht, daß Fehler grundsätzlich nicht passieren dürfen. Ich wage aber mal zu behaupten, daß Synology die Software in Fernost von billigen Hobby-Entwicklern fertigen läßt, die keinen blassen Schimmer haben, was sie dort tun.

Nachtrag2:
Ich habe noch einen ganz dicken Fisch für euch. Wer ihn zuerst komplett runterlädt, hat sich ein Bier verdient :D

 
Zuletzt bearbeitet:

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
@matthieu
hälst du uns auf dem laufenden falls sich Syno meldet und allenfalls Patches hat?
 

Matthieu

Super-Moderator
Teammitglied
Mitglied seit
03. Nov 2008
Beiträge
13.198
Punkte für Reaktionen
81
Punkte
344
@matthieu
hälst du uns auf dem laufenden falls sich Syno meldet und allenfalls Patches hat?
Ich vermute mal dass die entdeckten Lücken der Grund sind, warum Synology den ersten Patch um eine Woche verschoben hat.

@süno42: Ich frag mich über wie viele Firmen du so denkst. Ich hab letztens einen Bericht gelesen wie jemand ein Embedded-System geknackt hat über, surprise, genau solche Lücken (v.a. mangelhafte Pfad-Checks - und zwar ohne die Pfade vorher kodieren zu müssen).

MfG Matthieu
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
Ich finde so was wie Command Injections durch Userinput lassen sich "so einfach" verhindern, dass es mich schon nachdenklich stimmt. Klar kann das jedem mal passieren, aber es ist ja nicht die erste solche Lücke bei Syno. Ich erinnere da an die FTP Sache wo ich plötzlich YouTube im DSM gucken konnte :)
 

Puppetmaster

Benutzer
Mitglied seit
03. Feb 2012
Beiträge
18.702
Punkte für Reaktionen
480
Punkte
459
Dies bestätigt mich nur in meiner bereits kundgetanen Sichtweise über Synologys Softwarequalität und deren Sensibilisierung für Sicherheit. Unter diesen Gesichtspunkten würde ich mir zukünftig wohl keine Diskstation mehr kaufen. Dann lieber einen nativen Linuxserver ohne bunte Oberfläche.

Wobei ich mich ja auch die ganze Zeit bereits frage, weswegen du überhaupt eine Synology (resp. ein "Home"-NAS) gekauft hast, denn unter deinen Gesichtspunkten ähneln sie sich doch alle.
Wenn du etwas wirklich sicheres haben möchtest, dann solltest du es auch selbst aufsetzen. Dann mußt du dir letztlich den Schuh auch selbst anziehen, wenn es doch nicht so sicher war wie gedacht.

Du scheinst mir einfach nicht zur Zielgruppe zu gehören. :) Btw. denke ich das aber auch von Unternehmen, denn die "professionellen" DS und RS von Synology basieren ja auf der gleichen Firmware wie die günstigesten Home-DS. Als Unternehmen würde ich mich auch keiner Synology anvertrauen.
 

Matthieu

Super-Moderator
Teammitglied
Mitglied seit
03. Nov 2008
Beiträge
13.198
Punkte für Reaktionen
81
Punkte
344
Du scheinst mir einfach nicht zur Zielgruppe zu gehören. :) Btw. denke ich das aber auch von Unternehmen, denn die "professionellen" DS und RS von Synology basieren ja auf der gleichen Firmware wie die günstigesten Home-DS. Als Unternehmen würde ich mich auch keiner Synology anvertrauen.
Was nutzt denn ein Unternehmen?
- Speicher für Virtualisierung: Dafür kann ich nix sagen, weil ich das aus der praktischen Anwendung nicht kenne.
- Fileshare: Da steht etablierte Software wie Samba dahinter der ich die notwendige Sicherheit und Stabilität zutraue.
Viel mehr nutzen Großunternehmen wohl kaum. Der DSM ist nicht mehr als ein Admin-Tool dass dort per Firewall für das nicht-administrative Netz gesperrt werden sollte.

MfG Matthieu
 

Puppetmaster

Benutzer
Mitglied seit
03. Feb 2012
Beiträge
18.702
Punkte für Reaktionen
480
Punkte
459
@Matthieu
Mir geht's dabei eher darum, was Synology als vermeintliche Final-Version einer Firmware auf die Kundschaft loslässt. Das dazu unter dem Ratschlag, immer die aktuellste Version installiert zu haben.
Leider sind die Finals i.d.R. erst die echten Betas. Da hätte ich in einem sensiblen, wirtschaftlich denkendem Unternehmen einfach keinen Nerv zu.
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.702
Punkte für Reaktionen
21
Punkte
118
Als Unternehmen kann man sich schon eine Synology holen. Nicht bei jedem Unternehmen ist diese auch von extern erreichbar oder nur über VPN.

Das mit der Final, die eigentlich Beta Status hat, muss ich leider diesmal zustimmen. Es ist das erste mal, dass ich mit der Final und Beta massive Probleme hatte.
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
- Speicher für Virtualisierung: Dafür kann ich nix sagen, weil ich das aus der praktischen Anwendung nicht kenne.
- Fileshare: Da steht etablierte Software wie Samba dahinter der ich die notwendige Sicherheit und Stabilität zutraue.
Viel mehr nutzen Großunternehmen wohl kaum. Der DSM ist nicht mehr als ein Admin-Tool dass dort per Firewall für das nicht-administrative Netz gesperrt werden sollte.
also ganz ehrlich ich würde niemals eine DS (egal wie gross) für unsere Server und virtuellen Maschinen verwenden. Als Privatperson okay, aber für eine Firma? Gerade wenn man viele Server hat? Niemals :) Die Storages, die in dieses Umfeld gehören sind in einer andern Liga verglichen mit Syno. Unsere Storages (12TB) kosten vollbestückt ca 90'000 CHF.

Beim Filesharing im internen Netz stimm ich dir zu, das kann eine entsprechend abgesicherte DS sicher auch im Firmenumfeld leisten. Allerdings sehe ich ein bisschen ein Problem darin, dass auf einer DS per default so viele Dienste laufen. Die meisten davon wird man im Firmenumfeld kaum brauchen und nicht alles lässt sich via DSM deaktivieren
 

kaylark

Benutzer
Mitglied seit
14. Sep 2010
Beiträge
131
Punkte für Reaktionen
0
Punkte
0
Könnt ihr das mal auf deutsch übersetzen (für Laien)? Worin besteht die Gefahr?
 

süno42

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
224
Punkte für Reaktionen
0
Punkte
0
Könnt ihr das mal auf deutsch übersetzen (für Laien)? Worin besteht die Gefahr?

Kurz zusammengefaßt, Personen die Zugriff auf Deine Diskstation haben (teilweise reicht eine Zugriffsmöglichkeit auf die Anmeldemaske im Webbrowser ohne Anmeldung aus), können Dir Daten stehlen.

Bei DSM 4.2 kommt hinzu, daß diese Software für CSRF-Angriffe anfällig ist, was nicht bedeuten muß, daß DSM 4.3 besser schützt. Es reicht im Prinzip aus, daß Du im Browser eine Webseite aufrufst, die selbst versteckt auf Deine Diskstation zugreift. So können Deine privaten Daten mit wenig Aufwand unkontrolliert in die weite Welt (Internet) gelangen.


Viele Grüße
Süno42
 

süno42

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
224
Punkte für Reaktionen
0
Punkte
0
@süno42: Ich frag mich über wie viele Firmen du so denkst. Ich hab letztens einen Bericht gelesen wie jemand ein Embedded-System geknackt hat über, surprise, genau solche Lücken (v.a. mangelhafte Pfad-Checks - und zwar ohne die Pfade vorher kodieren zu müssen).

Ich weiß nicht, ob ich Dich jetzt richtig verstanden habe, aber ich habe schon so einiges gesehen, und meistens sind es die gleichen Probleme. Ich beobachte, daß Programmierer, die nur mit (streng) typsicheren Programmiersprachen wie Java arbeiten, beispielsweise kein Wissen über Pufferüberläufe und deren Gefahren kennen. Wenn sich dann jemand auf fremden Terrain bewegt, kann so etwas leicht passieren.


Viele Grüße
Süno42
 
NAS-Central - Ihr Partner für NAS Lösungen