Synology hat am 28.3.24 ein Sicherheitsupdate für Surveillance Station veröffentlicht, um mehrere Schwachstellen zu beheben, die es authentifizierten Remote-Benutzern ermöglichen, auf Intranet-Ressourcen zuzugreifen, Sicherheitsbeschränkungen zu umgehen, Denial-of-Service-Angriffe durchzuführen, SQL-Befehle einzuschleusen, unberechtigt Privilegien zu erlangen, sensible Informationen zu erhalten und bestimmte Dateien zu schreiben. Die betroffenen Produkte sind Surveillance Station für DSM 7.2, 7.1 und 6.2, wobei Nutzer auf die Version 9.2.0-11289 oder höher aktualisieren sollten.
Die Synology Surveillance Station ist eine umfassende Netzwerkvideorekorderlösung (NVR), die auf Synology NAS-Geräten (Network Attached Storage) installiert wird. Diese Software bietet eine zentrale Plattform zur Verwaltung und Überwachung von Überwachungskameras in Ihrem Heim- oder Geschäftsnetzwerk.
Die Schwachstellen, die unter den CVE-Nummern 2024-29227 bis 2024-29241 aufgeführt sind, umfassen eine Reihe von Sicherheitslücken, darunter fehlende Autorisierungsprüfungen und SQL-Injection-Anfälligkeiten in verschiedenen WebAPI-Komponenten von Surveillance Station. Diese Anfälligkeiten wurden mit Wichtigkeitseinstufungen von „Moderat“ bis „Kritisch“ bewertet, wobei die höchste CVSS3-Basisbewertung bei 9.9 liegt. der Dazugehörige Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H lässt sich wie folgt interpretieren:
- AV:N (Attack Vector: Network) – Dies bedeutet, dass die Schwachstelle über das Netzwerk ausgenutzt werden kann. Angreifer müssen keinen physischen Zugriff auf das betroffene System haben oder lokale Netzwerke nutzen; die Schwachstelle kann remote ausgenutzt werden.
- AC:L (Attack Complexity: Low) – Die Schwachstelle kann relativ leicht ausgenutzt werden, d.h., spezielle Bedingungen oder erweiterte Vorbereitungen sind nicht notwendig, um einen erfolgreichen Angriff durchzuführen.
- PR:L (Privileges Required: Low) – Ein Angreifer benötigt gewisse Privilegien auf dem System, um die Schwachstelle auszunutzen. Obwohl Privilegien erforderlich sind, sind sie nicht auf dem höchsten Niveau, was bedeutet, dass ein Angreifer mit grundlegenden Zugriffsrechten den Angriff durchführen könnte.
- UI:N (User Interaction: None) – Für die Ausnutzung der Schwachstelle ist keine Interaktion eines Benutzers erforderlich. Ein Angreifer kann die Schwachstelle ausnutzen, ohne dass eine Aktion von jemand anderem auf dem Zielgerät erforderlich ist.
- S:C (Scope: Changed) – Der Angriff kann eine Änderung im Autorisierungsniveau bewirken, was bedeutet, dass er sich über die ursprünglichen Berechtigungen hinaus auswirken und andere Teile des Systems beeinflussen kann.
- C:L (Confidentiality: Low) – Es gibt eine geringfügige Beeinträchtigung der Vertraulichkeit. Zwar werden einige Informationen offengelegt, aber der Umfang der Exposition ist begrenzt oder die Sensibilität der offengelegten Daten ist nicht hoch.
- I:H (Integrity: High) – Es gibt eine hohe Beeinträchtigung der Integrität. Ein Angreifer könnte in der Lage sein, beträchtliche unbefugte Änderungen an Daten vorzunehmen oder die Kontrolle über betroffene Systeme zu übernehmen.
- A:H (Availability: High) – Es gibt eine hohe Beeinträchtigung der Verfügbarkeit. Die Schwachstelle könnte dazu führen, dass Ressourcen für legitime Benutzer nicht verfügbar sind, was bis zu einem vollständigen Ausfall des betroffenen Dienstes führen kann.
Ein CVSS-Score von 9.9 ist extrem hoch und weist darauf hin, dass die betreffende Sicherheitslücke sehr ernst genommen und umgehend behoben werden sollte, um potenzielle Auswirkungen auf die Sicherheit und Betriebsfähigkeit der betroffenen Systeme zu minimieren.
Benutzer sind angehalten, ihre Systeme umgehend zu aktualisieren, um sich gegen potenzielle Ausnutzung dieser Schwachstellen zu schützen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: