Synology Surveillance Stations: sofortige patchen erforderlich

Synology hat am 28.3.24 ein Sicherheitsupdate für Surveillance Station veröffentlicht, um mehrere Schwachstellen zu beheben, die es authentifizierten Remote-Benutzern ermöglichen, auf Intranet-Ressourcen zuzugreifen, Sicherheitsbeschränkungen zu umgehen, Denial-of-Service-Angriffe durchzuführen, SQL-Befehle einzuschleusen, unberechtigt Privilegien zu erlangen, sensible Informationen zu erhalten und bestimmte Dateien zu schreiben. Die betroffenen Produkte sind Surveillance Station für DSM 7.2, 7.1 und 6.2, wobei Nutzer auf die Version 9.2.0-11289 oder höher aktualisieren sollten.

Die Synology Surveillance Station ist eine umfassende Netzwerkvideorekorderlösung (NVR), die auf Synology NAS-Geräten (Network Attached Storage) installiert wird. Diese Software bietet eine zentrale Plattform zur Verwaltung und Überwachung von Überwachungskameras in Ihrem Heim- oder Geschäftsnetzwerk.

Die Schwachstellen, die unter den CVE-Nummern 2024-29227 bis 2024-29241 aufgeführt sind, umfassen eine Reihe von Sicherheitslücken, darunter fehlende Autorisierungsprüfungen und SQL-Injection-Anfälligkeiten in verschiedenen WebAPI-Komponenten von Surveillance Station. Diese Anfälligkeiten wurden mit Wichtigkeitseinstufungen von “Moderat” bis “Kritisch” bewertet, wobei die höchste CVSS3-Basisbewertung bei 9.9 liegt. der Dazugehörige Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H lässt sich wie folgt interpretieren:

  1. AV:N (Attack Vector: Network) - Dies bedeutet, dass die Schwachstelle über das Netzwerk ausgenutzt werden kann. Angreifer müssen keinen physischen Zugriff auf das betroffene System haben oder lokale Netzwerke nutzen; die Schwachstelle kann remote ausgenutzt werden.
  2. AC:L (Attack Complexity: Low) - Die Schwachstelle kann relativ leicht ausgenutzt werden, d.h., spezielle Bedingungen oder erweiterte Vorbereitungen sind nicht notwendig, um einen erfolgreichen Angriff durchzuführen.
  3. PR:L (Privileges Required: Low) - Ein Angreifer benötigt gewisse Privilegien auf dem System, um die Schwachstelle auszunutzen. Obwohl Privilegien erforderlich sind, sind sie nicht auf dem höchsten Niveau, was bedeutet, dass ein Angreifer mit grundlegenden Zugriffsrechten den Angriff durchführen könnte.
  4. UI:N (User Interaction: None) - Für die Ausnutzung der Schwachstelle ist keine Interaktion eines Benutzers erforderlich. Ein Angreifer kann die Schwachstelle ausnutzen, ohne dass eine Aktion von jemand anderem auf dem Zielgerät erforderlich ist.
  5. S:C (Scope: Changed) - Der Angriff kann eine Änderung im Autorisierungsniveau bewirken, was bedeutet, dass er sich über die ursprünglichen Berechtigungen hinaus auswirken und andere Teile des Systems beeinflussen kann.
  6. C:L (Confidentiality: Low) - Es gibt eine geringfügige Beeinträchtigung der Vertraulichkeit. Zwar werden einige Informationen offengelegt, aber der Umfang der Exposition ist begrenzt oder die Sensibilität der offengelegten Daten ist nicht hoch.
  7. I:H (Integrity: High) - Es gibt eine hohe Beeinträchtigung der Integrität. Ein Angreifer könnte in der Lage sein, beträchtliche unbefugte Änderungen an Daten vorzunehmen oder die Kontrolle über betroffene Systeme zu übernehmen.
  8. A:H (Availability: High) - Es gibt eine hohe Beeinträchtigung der Verfügbarkeit. Die Schwachstelle könnte dazu führen, dass Ressourcen für legitime Benutzer nicht verfügbar sind, was bis zu einem vollständigen Ausfall des betroffenen Dienstes führen kann.

Ein CVSS-Score von 9.9 ist extrem hoch und weist darauf hin, dass die betreffende Sicherheitslücke sehr ernst genommen und umgehend behoben werden sollte, um potenzielle Auswirkungen auf die Sicherheit und Betriebsfähigkeit der betroffenen Systeme zu minimieren.

Benutzer sind angehalten, ihre Systeme umgehend zu aktualisieren, um sich gegen potenzielle Ausnutzung dieser Schwachstellen zu schützen.

Related Posts

Darcula: SMS Phishing as a Service auf iMessage und RCS

März 2024: Der Cyber Security Dienstleister Netcraft berichtet über einen neuen, ausgeklügelten Phishing-as-a-Service (PhaaS) Anbieter namens ‘Darcula’, der in über 100 Ländern aktiv ist und mit raffinierten Techniken und über 20.000 Phishing-Domains Phishing Betrug als Dienstleistung anbietet. Darcula bietet Cyberkriminellen einfache Zugänge zu markenspezifischen Phishing-Kampagnen, wobei nicht traditionelles PHP, sondern fortschrittliche Tools wie JavaScript, React, Docker und Harbor zum Einsatz kommen.

Read More

GitLab plant Dependency-Firewall gegen Supply Chain Angriffe

In einem Blog Post vom 26. März 2024 hat GitLab seine Pläne vorgestellt, ein neues Feature zur Verbesserung der Sicherheit in Software-Lieferketten einzuführen. Die für die zweite Jahreshälfte 2024 geplante “Dependency-Firewall” soll ein robustes Verteidigungssystem gegen Angriffe auf die Software-Supply-Chain, wie Typosquatting und Dependency-Confusion-Angriffe, darstellen.

Read More

BSI Alarmstufe Orange: 17.000 Exchange Server stark gefährdet

März 2024 – Eine alarmierende Zahl von Microsoft-Exchange-Servern in Deutschland bleibt anfällig für kritische Sicherheitslücken, so warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht vom 26. März 2024. Ungefähr 12% der 45.000 in Deutschland betriebenen Exchange-Server, die über das Internet erreichbar sind, verwenden immer noch die veralteten Versionen 2010 oder 2013, für die keine Sicherheitsupdates mehr bereitgestellt werden. Das BSI hebt hervor, dass eine kritische Schwachstelle, bekannt unter CVE-2024-21410, nicht durch ein traditionelles Patching behoben wird. Stattdessen kann die Schwachstelle durch die Aktivierung der “Extended Protection for Authentication” vermieden werden. Jedoch ist diese Maßnahme nicht auf allen Servern umgesetzt worden, was die Sicherheitsrisiken weiter verschärft.

Read More