Gefahr für NAS-Systeme: Synology muss erneut Sicherheitslücken schließen

Synology hat für seine NAS-Systeme und DSM 5.0 den Build 4493 Update 4 veröffentlicht, der für zahlreiche NAS-Systeme zur Verfügung steht. Laut den Release Notes beseitigt er einige Fehler im System. Wichtig ist vor allem eine geschlossene Sicherheitslücke in der OpenSSL-Komponente.

Die OpenSSL-Sicherheitslücken sind schon länger bekannt, wie etwa aus dem passenden Security Advisory des OpenSSL-Projekts selbst hervorgeht. Dieses ist vom Juni 2014 und beinhaltet die in den Synology-Release-Notes genannten CVE-Einträge. Ebenfalls geschlossen werden durch das Update Sicherheitslücken in der Kerberos-Authentifizierung.

Da Synologys NAS-Systeme in der Vergangenheit häufiger angegriffen wurden, empfiehlt sich ein zeitnahes Einspielen des Patches. Mit dem Synolocker gibt es mittlerweile sogar spezielle Ransomware, die die Daten verschlüsselt und währenddessen dem NAS-Besitzer einen Erpressungsversuch zustellt. Die Schadsoftware funktioniert aber nicht mit DSM 5.0 sondern nur mit älteren Versionen. Immerhin bieten zwei Sicherheitsfirmen eine Entschlüsselung an. Die Gefahr durch den Synolocker ist eigentlich sehr gering, da die Sicherheitslücken schon lange vor dem Auftauchen der Schadsoftware geschlossen wurden. Einige NAS-Administratoren unterschätzten jedoch die Gefahr.

Die Aktualisierung sollte über die interne Update-Funktion von DSM verfügbar sein. Einen Patch für ältere DSM-Versionen konnten wir auf Synologys Downloadserver noch nicht ausmachen.