Synology: Kritische Lücken in NAS erlauben Angreifern Ausführen von Schadcode

Insgesamt vor vier Sicherheitslücken in bestimmten NAS-Geräte-Reihen warnt Synology. Davon sind drei als kritisch eingestuft und erlauben Angreifern aus dem Netzwerk, beliebigen Code auf den Geräten auszuführen. Aktualisierte Firmware, die die Schwachstellen schließt, steht bereit.

Die drei kritischen Sicherheitslücken finden sich im Out-of-Bands-Management (OOB) der NAS-Geräte. Beim Entschlüsseln von Paketen könnten die Grenzen eines Puffers überschrieben werden (CVE-2022-27624, CVSS 10, Risiko „kritisch„). Solch ein Pufferüberlauf könnte ebenso bei der Verarbeitung von Nachrichten auftreten (CVE-2022-27625, CVSS 10, kritisch).

Bei der Ausführung mit geteilten Ressourcen könnte eine unzureichende Synchronisierung zu einer sogenannten Race Condition führen, was Angreifern ebenfalls das Ausführen beliebiger Befehle ermöglicht (CVE-2022-27626, CVSS 10, kritisch). Weniger schlimm mutet da der Fehler in der Session-Verarbeitung des OOB an, der Zugriffe außerhalb seiner Speichergrenzen und somit den Abfluss vertraulicher Informationen ermöglicht (CVE-2022-3576, CVSS 5.3, mittel).

Quelle: Synology: Kritische Lücken in NAS erlauben Angreifern Ausführen von Schadcode | heise online