NAS-toestellen van Synology zijn vatbaar voor twee bugs in OpenSSL. De fabrikant werkt aan een patch maar die is momenteel nog niet beschikbaar.
Twee lekken in OpenSSL treffen NAS-toestellen van Synology. Via de bugs kunnen hackers vanop afstand eigen code uitvoeren of toepassingen doen crashen. Zowel NAS-toestellen met het DSM 6.2-besturingssysteem als toestellen met het nieuwe DSM 7.0 zijn kwetsbaar. Ook Synology Router Manager, VPN Plus Server en VPN Server zijn vatbaar voor misbruik.
Kwetsbaarheid CVE-2021-3711 is het gevaarlijkst met een CVSS3-score van 8,1. Die heeft betrekking op een bug in de SM2-decryptie en laat aanvallers toe om zelf code uit te voeren. CVE-2021-3721 heeft een score van 5,3 en betreft een buffer overflow-bug bij de verwerking van ASN.1-strings. Via deze achterpoort kunnen aanvallers toepassingen laten crashen.
Wachten op een oplossing
De bugs zitten in OpenSSL zelf. OpenSSL 1.1.1 is sinds 24 augustus beschikbaar en lost de problemen op, maar Synology heeft de nieuwste versie van de standaard nog niet geïmplementeerd in zijn software. De Taiwanese NAS-specialist werkt aan een oplossing en geeft aan doorgaans binnen de 90 dagen na de publicatie van een advies een oplossing te bieden.
Momenteel worden de lekken nog niet uitgebuit in het wild. De kans is helaas klein dat hackers bij de pakken blijven zitten. Synology-NAS-toestellen zijn een populair doelwit voor aanvallers. Eerder deze maand nog kreeg het bedrijf te kampen met een golf van brute force-aanvallen bedoeld om servers in te lijven in een botnet.