image

QNAP en Synology waarschuwen voor OpenSSL-lekken in NAS-systemen

maandag 30 augustus 2021, 09:48 door Redactie, 2 reacties

QNAP en Synology waarschuwen voor OpenSSL-lekken in NAS-systemen waardoor aanvallers een denial of service kunnen veroorzaken of willekeurige code op de apparaten kunnen uitvoeren. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Vorige week kwam het OpenSSL-team met een beveiligingsupdate die twee kwetsbaarheden verhielp.

De software van QNAP en Synology maakt ook gebruik van OpenSSL en is daardoor ook kwetsbaar. In het geval van Synology gaat het om Synology DiskStation Manager (DSM) 6.2 en 7.0, SkyNAS, VS960HD, Synology Router Manager (SRM) 1.2, VPN Plus Server en VPN Server. De NAS-fabrikant zegt aan beveiligingsupdates te werken, maar wanneer die precies verschijnen is nog onbekend.

QNAP stelt dat één van de OpenSSL-kwetsbaarheden een denial of service mogelijk maakt en een remote aanvaller de inhoud van het geheugen laat uitlezen. Dit beveiligingslek is aanwezig in NAS-systemen die QTS, QuTS hero en QuTScloud draaien. Het andere OpenSSL-lek bevindt zich in NAS-systemen die HBS 3 (Hybrid Backup Sync) draaien. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om op afstand code op het systeem uit te voeren. Ook QNAP zegt aan patches te werken, maar wanneer gebruikers die kunnen downloaden is nog onduidelijk.

Reacties (2)
30-08-2021, 14:14 door Anoniem
ff openvpn server uitzetten tot het gefixed is.
30-08-2021, 16:17 door Briolet
Gelukkig gebruikt Synology bij hun DSM 6.2 nog steeds de oude 1.0.2u versie. Daar zit alleen de minst kritieke cve in.

DSM 7 is nog maar net uit en zal nog niet zoveel in gebruik zijn. Die bevat wel 1.1.1k met de meer kritieke cve.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.