NAS-toestellen, applicaties van Synology en het nieuwe BeeStation-product zijn allemaal vatbaar voor nieuw ontdekte en gevaarlijke bugs. Snel patchen is de boodschap, al vereist dat soms manuele interventie.
Synology stuurt een uitzonderlijke mail uit om gebruikers te waarschuwen voor een reeks van kritieke bugs. Op het event Pwn2Own Ireland 2024, dat eind oktober plaatsvond, ontdekten beveiligingsonderzoekers een verzameling kwetsbaarheden die hackers uitgebreid kunnen misbruiken.
Malafide code en ransomware
Synology claimt in de mail dat er momenteel nog geen sprake is van actief misbruik van de bugs, maar raadt gebruikers desalniettemin aan om onmiddellijk patches te installeren gezien de ernst van het risico.
De bugs zijn immers niet van de minsten. Ze laten aanvallers toe om van op afstand bestanden te bekijken of eigen code uit te voeren, en zo een NAS over te nemen of te kapen met ransomware. De gevaarlijke mogelijkheid om malafide code uit te voeren, is de rode draad door alle kwetsbaarheden.
DSM 7
De meest kritieke bugs treffen de besturingssystemen van zowel de NAS-toestellen van Synology als de consumentgerichte BeeStation-producten. Alle recente versies van het besturingssysteem zijn kwetsbaar. Het gaat om:
- DSM 7.2.2
- DSM 7.2.1
- DSM 7.1
- DSMUC 3.1
- BeeStation OS 1.0
- BeeStation OS 1.1
Hier deelt Synology de status van de situatie voor DSM en DSMUC, en hier voor BeeStation.
Ook applicaties
Verder vonden de beveiligingsexperts lekken in individuele applicaties van Synology, die hackers eveneens kunnen misbruiken. Volgende applicaties moeten zeker up-to-date zijn:
- Drive Server (voor DSM 7.1, DSM 7.2.1 en DSM 7.2.2)
- Photos (voor DSM 7.1, versie 1.6 voor DSM 7.2 .1 en versie 1.7 voor DSM 7.2.2)
- Replication Service (DSM 7.1, DSM 7.2, DSMUC 3.1)
- BeePhotos (voor OS 1.0 en OS 1.1)
HVEC of bug?
Ondanks de ernst van de situatie heeft Synology nog geen patches voor alle versies van de getroffen software. Op moment van schrijven is er bijvoorbeeld wel een patch voor DSM 7.2.2. Wie de upgrade naar 7.2.2 – Update 1 uitvoert, is veilig. Voor DSM 7.2.1, DSM 7.1 en DSMUC 3.1 is op dit moment nog geen patch.
lees ook
Synology DSM 7.2.2-update verwijdert video-ondersteuning uit NAS
De DSM-versies kan je wel upgraden naar 7.2.2 – Update 1, maar vanaf 7.2.2 maakt Synology komaf met de ondersteuning voor de HVEC-codec, en werkt Video Station niet meer. Voor op die functionaliteit vertrouwt en nog geen oplossing heeft, is de upgrade naar 7.2.2 geen geweldige oplossing.
Manueel proces
Synology stelt de noodzakelijke updates bovendien niet automatisch ter beschikking van alle toestellen. Onze testnas DS1522+ konden we met een druk op de knop beveiligen, maar ons testtoestel van model DS 923+ stond als helemaal up-to-date gemarkeerd, ook al draaide het nog de (kwetsbare) versie DSM 7.1.
In dat geval kunnen beheerders het OS manueel updaten via het Synology Download Center. Die procedure telt soms verschillende stappen, met upgrades naar een tussenversie voor de finale update naar het veilige OS mogelijk is.
Synology lijkt verder prioriteit te geven aan updates voor de kwetsbare apps op de modernste versies van zijn besturingssystemen. Wie de upgrade naar DSM 7.2.2 heeft uitgevoerd, moet in het Package Center nog controleren of alle applicaties up-to-date zijn.
Geliefkoosd doelwit
NAS-toestellen zijn geliefkoosde doelwitten voor hackers. Ransomware-aanvallen op de kleine servers kunnen kmo’s op de knieën dwingen. Ook consumenten die bijvoorbeeld heel hun fotobilbiotheek op een NAS beheren, zijn gemakkelijk te overtuigen om losgeld te betalen. Nu de bugs publiek gekend zijn, mag je er niet aan twijfelen dat misbruik in het wild slechts een kwestie van tijd is. Beheer je een Synology-NAS? Ga dan meteen aan de slag.