Kritieke bug in firmware van Synology en Qnap

Synology NAS

NAS-toestellen van Synology en Qnap zijn kwetsbaar voor een kritieke bug in Netatalk. Aanvallers kunnen dat protocol vanop afstand gebruiken om data te stelen of eigen code uit te voeren.

Eigenaars van een NAS van Synology of Qnap moeten oppassen voor een gevaarlijk lek in de software van hun toestellen. Het probleem situeert zich in de verouderde versie van Netatalk die beide fabrikanten geïntegreerd hebben in hun besturingssysteem. Netatalk laat communicatie via de netwerkprotocollen van Apple toe maar kan in dit geval misbruikt worden door hackers. Zij kunnen zonder authenticatie toegang krijgen tot getroffen toestellen en zo code uitvoeren of data stelen.

De kwetsbaarheid kwam aan het licht bij de release van Netatalk 3.1.13. Bij de lancering van die nieuwste versie deelden de ontwikkelaars meteen mee dat oudere versies tot dan ongekende lekken bevatten.

Synology

Voor Synology zit het lek in volgende software:

  • DSM 7.1
  • DSM 7.0
  • DSM 6.2
  • SRM 1.2
  • VS Firmware 2.3

Synology werkt aan updates en lanceerde al een patch voor DSM 7.1. Upgrade 7.1-42661-1 dicht het lek maar wordt niet op alle toestellen automatisch aangeboden. Eigenaars van een Synology-NAS kunnen hun besturingssysteem wel manueel upgraden naar de nieuwste versie.

Qnap

Ook Qnap voert een race tegen de klok. Volgende software is kwetsbaar:

  • QTS 5.0.x
  • QTS 4.5.4
  • QTS 4.3.6
  • QTS 4.3.4
  • QTS 4.3.3
  • QTS 4.2.6
  • QuTS hero h5.0.x
  • QuTS hero h4.5.4
  • QuTScloud c5.0.x

Qnap lanceerde al een patch voor QTS 4.5.4 met 2012 build 20220419. Voor alle andere getroffen besturingssystemen sleutelt de fabrikant nog aan een patch. Qnap laat weten dat gebruikers de kwetsbaarheid tijdelijk kunnen mitigeren door AFP uit te schakelen.

Zo snel mogelijk updates installeren

Zoals steeds is het een goed idee om de relevante patches zo snel mogelijk te installeren. Eigenaars van de meeste Synology-toestellen kunnen voor het manuele upgrade-pad kiezen. Wie een router bezit, moet nog even geduld hebben. Ook heel wat Qnap-klanten moeten nog even op de tanden bijten. Qnap raadt aan om beveiligings-updates te installeren zodra ze beschikbaar komen.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.