Synology vpn-routers via kritieke kwetsbaarheid op afstand over te nemen
Synology heeft een belangrijke beveiligingsupdate uitgebracht voor een kritieke kwetsbaarheid waardoor vpn-routers op afstand zijn over te nemen. De impact van het beveiligingslek, aangeduid als CVE-2022-43931, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.
Synology biedt VPN Plus Server, software waarmee een Synology-router tot vpn-server is "om te toveren". Een out-of-bounds write kwetsbaarheid in de remote desktopfunctionaliteit maakt het mogelijk voor een aanvaller om op afstand willekeurige commando's op de router uit te voeren. Het beveiligingslek werd zelf door Synology gevonden. Gebruikers wordt aangeraden om naar de laatste versie van VPN Plus Server te updaten.
Ik gebruik Synology al jaren, en men is goed in het continue bijwerken van kwetsbaarheden. Ook in dit geval hebben ze het zelf ontdekt (!) en komt er een patch voor. Dus wat is je probleem?
Is deze update ook beschikbaar voor mijn 1010+ uit 2000-langgeleden waarvoor geen DSM-updaten meer uitkomen?
Is deze update ook beschikbaar voor mijn 1010+ uit 2000-langgeleden waarvoor geen DSM-updaten meer uitkomen?
Heb je op het linkje geklikt dat verwijst naar de CVE? Dan had je geleden dat de "affected products" de VPN Plus Server for SRM 1.3 en de VPN Plus Server for SRM 1.2 zijn. Dus tenzij je een "trans" NAS hebt die bezig is een VPN Plus server te worden, denk ik niet dat je hier last van hebt...
Deze bugs zitten alleen in oude versies van de software. De geadviseerde veilige versies zijn ook al sinds mei vorig jaar in omloop gebracht.
https://www.synology.com/en-me/releaseNote/VPNPlusServer
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
