Die Synology-NAS, die viele Fotografen einsetzen, haben ein herbes Problem. Die vorinstallierte und bei einigen Versionen auch per Default aktivierte App “SynologyPhotos” ist über das Internet über eine “ZeroClick”-Attacke angreifbar. Der Angreifer kann dann das Gerät mit Root-Rechten übernehmen. Auch Ransomware-Gruppen haben den Bug in der Vergangenheit bereits ausgenutzt.
Synology hat vor einer Woche einen Patch bereitgestellt, der diese Lücke bei den BeeStations schließt. Rick de Jager, der den Bug gefunden hat, schreibt aber auch, dass der Bug auch bei der DeskStation besteht – auch wenn dort die Applikation nicht automatisch aktiviert ist.
Also im Zweifel die entsprechende Photo-App von Synology vom Netz nehmen / deaktivieren.
Warum ich das hier schreibe? Wir haben vor einiger Zeit mal im FolyFos genau diese Funktion der Synology-NAS begeistert vorgestellt.
Schon seit 25.10. gelöst: https://www.synology.com/de-de/security/advisory/Synology_SA_24_19 (Initial public release.)
Nicht jeder hat die Info bekommen….
Es sollte natürlich jeder Admin, der seine Syno öffentlich stellt regelmäßig nach verfügbaren Updates schauen. Oder halt nur per VPN zugreifen, dann ist es egal.
Ja. Sollte.
Aber die BeeStation ist vom Preis her ein reines Endkundenprodukt. Werbetext:
“Mühelose Einrichtung: Integrierte Festplatte und vorkonfiguriert sofort einsatzbereit. Einfach einstecken und loslegen
100% Datenbesitz: Volle Kontrolle ohne Einbußen bei der Privatsphäre
Nahtlose Foto-Backup: Geben Sie Telefonspeicher mit einfachen Foto-Backups und müheloses Teilen mit Familie und Freunden frei”
Da steht nichts von “rechnen Sie damit, dass Sie von einem fiesen Hacker abgezockt werden und schalten Sie erstmal alles ab, was nach draußen geht, bis wir alle Sicherheitslücken geschlossen haben. Ach ja, und gehen sie jeden Tag auf unsere Website und kucken sie nach, ob wir wieder was gefixt haben.”
Mit der Beestation habe ich keine Erfahrung. Auf der Syno kannst du auch automatische Updates aktivieren.
Übrigens kann ich hier die Redditcommunity von Synology empfehlen, dort habe ich die Info am schnellsten bekommen. Dort findet man auch viele Tipps zum Thema Sicherheit (z.B. VPN usw.). Allgemein eine gute Community für Syno User.
Wenn man sich (sein Synology-NAS) registriert hat, bekommt man eine eMail, wenn’s ein Update gibt. Sehr angenehm.
Ansonsten ist das NAS bei mir zur Datensicherung – jedwede anderen Apps sind gar nicht erst aktiviert worden, in “die weite Welt” darf das NAS auch nicht, es ist nur im lokalen Netz erreichbar. Ich denke, damit sind viele Sicherheitslücken von vorn herein ausgeschlossen.
Trotzdem: Danke für die Info hier bei pen-and-tell (hatte ich zwar bei heise.de schon gelesen, aber besser doppelt, als gar nicht).