Sicherheitslücken in Synology-Kameras BC500 und TC500
Am 20. November 2023 wurden kritische Sicherheitslücken in den Synology-Kameramodellen BC500 und TC500 gemeldet, die es Angreifern ermöglichen, aus der Ferne beliebigen Code auszuführen und Sicherheitsbeschränkungen zu umgehen. Diese Schwachstellen, die auf dem PWN2OWN 2023-Wettbewerb entdeckt wurden, sind inzwischen behoben worden.
Zu den betroffenen Produkten gehören die Synology-Kameramodelle BC500 und TC500. Beide Modelle sind von mehreren Sicherheitslücken betroffen, darunter ein klassischer Buffer Overflow in der libjansson-Komponente (CVE-2024-39349, CVSS-Score: 9.8), der es Angreifern ermöglicht, aus der Ferne beliebigen Code auszuführen. Weitere Schwachstellen umfassen OS Command Injections in der IP-Block-Funktionalität (CVE-2023-47802, CVSS-Score: 7.2) und in der NTP-Konfiguration (CVE-2024-39351, CVSS-Score: 7.2), eine Authentifizierungsumgehung durch Spoofing in der RTSP-Funktionalität (CVE-2024-39350, CVSS-Score: 7.5), Path Traversal in den Spracheinstellungen (CVE-2023-47803, CVSS-Score: 5.3) und eine falsche Autorisierung in der Firmware-Upgrade-Funktionalität (CVE-2024-39352, CVSS-Score: 4.9).
Diese Sicherheitslücken wurden durch Updates auf Firmware-Version 1.0.7-0298 oder höher behoben. Nutzer der betroffenen Modelle werden dringend aufgefordert, ihre Geräte auf die neueste Firmware-Version zu aktualisieren, um sich vor möglichen Angriffen zu schützen.
Weitere Details zu den spezifischen Sicherheitslücken und deren Schweregrad können in den zugehörigen CVE-Einträgen nachgelesen werden: CVE-2023-47802, CVE-2023-47803, CVE-2024-39349, CVE-2024-39350, CVE-2024-39351, CVE-2024-39352.