Nutzer die Router von Synology als VPN-Server einsetzen, müssen die Software möglichst zeitnah aktualisieren, da ansonsten eine kritische Sicherheitslücke Cyberkriminellen Codeschmuggel möglich macht.
Synology warnt Ende Dezember seine Kunden vor einer kritischen Sicherheitslücke im VPN Plus Server. Das Produkt lässt sich als Zusatzsoftware auf Router von Synology installieren und wandelt diese hierauf in eine VPN-Zentrale um. Cyberkriminelle könnten dadurch unbefugt beliebige Befehle ausführen.
Genauere Informationen werden durch Synology derzeit noch zurückgehalten. Nach eigenen Angaben ermöglicht eine Sicherheitslücke potenziellen Angreifern die Ausführung beliebiger Befehle aus der Distanz über die entsprechend anfällige Version von Synology VPN Plus Server. Außerdem informiert die Sicherheitsmeldung Kunden, dass bisher keine temporäre Übergangslösung existiert. Die Sicherheitslücke wurde durch Kevin Wang aufgedeckt und gemeldet. Ein CVE-Eintrag (Common Vunlerabilities and Exposures) wurde scheinbar noch nicht reserviert. Derartige Einträge erscheinen in einer Liste mit öffentlichen Schwachstellen in Computersystemen. Einer bestimmten Schwachstelle wird dabei eine einzelne CVE-Nummer zugewiesen. Ein aussagekräftiger CVSS-Score (Common Vulnerability Scoring System) wurde ebenfalls noch nicht veröffentlicht. Das Scoring System ist ein Industriestandard zu Einstufung des Risikos von Sicherheitslücken in Software. Synology stuft die Sicherheitslücke nach eigener Einschätzung als kritisch ein.
Update verfügbar
Von der Sicherheitslücke betroffen sind VPN Plus Server for SRM 1.3 sowie VPN Plus Server for SRM 1.2. Den Fehler kann die Version 1.4.4-0635 für die 1.3er Version und respektive 1.4.3-0534 für die 1.2er Version beseitigen. Wie das Update einschließlich der Aktualisierungen zu erhalten ist, wird durch den Hersteller nicht mitgeteilt. Aus der Beschreibung des VPN-Plus-Server-Dienstes lässt sich ableiten, dass die Software im Paketzentrum der Nutzeroberfläche von Synology installiert und aktualisiert werden muss. Kunden, die das VPN-Plus-Paket nutzen, sollten schnellstmöglich die bereitstehende aktualisierte Version downloaden und installieren.
Ende Dezember hat Synology bereits kritische Sicherheitslücken im Betriebssystem Synology Router Manager geschlossen, ohne weitere Informationen zu den Lücken zu veröffentlichen oder CVE-Einträge mitzuteilen.
Eine Warnung war zuletzt im Oktober 2022 ausführlicher ausgefallen. Vergangenen Oktober waren Sicherheitslücken im Out-of-Bands-Management von Synology die Ursache dafür, dass Angreifer einen beliebigen Code auf Netzwerkspeicher des Anbieters hätten spielen können. Diese Sicherheitslücke hatte bereits einen CVE-Eintrag und die höchstmögliche CVSS-Bewertung von 10.0.