Synology dicht ernstige kwetsbaarheid in nasapparaten, ontdekt door Nederlander

Synology heeft updates uitgebracht die een ernstig beveiligingslek in zijn nasapparaten moeten dichten. Het betreft een zeroclickkwetsbaarheid in de component van zijn besturingssysteem die foto's verwerkt. De bug werd ontdekt door een Nederlander tijdens de Pwn2Own-hackwedstrijd.

De opslagfabrikant schrijft in zijn beveiligingsadvies dat gebruikers met BeePhotos for BeeStation OS 1.0 dienen te upgraden naar versie 1.0.2-10026 of nieuwer, of naar 1.1.0-10053 of nieuwer in het geval van BeePhotos for BeeStation OS 1.1. Daarnaast zijn ook Synology Photos 1.6 en 1.7 voor DSM 7.2 kwetsbaar. Voor deze software raadt het bedrijf aan om te updaten naar respectievelijk 1.6.2-0720 of nieuwer en 1.7.0-0795 of nieuwer. Synology beschouwt het probleem als opgelost, aangezien de updates nu beschikbaar zijn.

De zogenaamde RISK:STATION-kwetsbaarheid werd ontdekt tijdens de Pwn2Own Ireland 2024-wedstrijd in Ierland door Rick de Jager, een Nederlandse beveiligingsonderzoeker bij Midnight Blue. Malafide partijen kunnen de bug gebruiken om op afstand willekeurige code uit te voeren op het apparaat van gebruikers. Het lek staat bekend als CVE-2024-10443. Voorlopig maakt de securityonderzoeker geen technische details bekend, zodat gebruikers genoeg tijd hebben om hun systeem te updaten.

Door Idriz Velghe

Redacteur

Feedback • 01-11-2024 16:57
66 • submitter: T-MOB

01-11-2024 • 16:57

66

Submitter: T-MOB

Lees meer

Synology geeft Plus-nas voortaan alleen alle functies met goedgekeurde hdd's
Synology geeft Plus-nas voortaan alleen alle functies met goedgekeurde hdd's Nieuws van 16 april 2025
Prijs en releasedatum van Synology DiskStation DS925+ verschijnt op Amazon
Prijs en releasedatum van Synology DiskStation DS925+ verschijnt op Amazon Nieuws van 14 april 2025
Synology maakt CC400W-beveiligingscamera beschikbaar vanaf 168 euro
Synology maakt CC400W-beveiligingscamera beschikbaar vanaf 168 euro Nieuws van 20 maart 2025
Synology kondigt nassystemen aan met 2,5Gbit/s-ethernetaansluitingen
Synology kondigt nassystemen aan met 2,5Gbit/s-ethernetaansluitingen Nieuws van 16 maart 2025
Synology heeft 'grote storing', C2-clouddiensten mogelijk offline - update
Synology heeft 'grote storing', C2-clouddiensten mogelijk offline - update Nieuws van 12 maart 2025
QNAP fixt zes rsync-kwetsbaarheden in back-upsoftware van nasapparaten
QNAP fixt zes rsync-kwetsbaarheden in back-upsoftware van nasapparaten Nieuws van 24 januari 2025
'Cross-site scripting' staat bovenaan Mitres top 25 van kwetsbaarheden
'Cross-site scripting' staat bovenaan Mitres top 25 van kwetsbaarheden Nieuws van 21 november 2024
QBittorrent krijgt update die veertien jaar oude kwetsbaarheid verhelpt
QBittorrent krijgt update die veertien jaar oude kwetsbaarheid verhelpt Nieuws van 1 november 2024
Onderzoeker kan via vijf bugs op afstand app installeren op Samsung Galaxy S24
Onderzoeker kan via vijf bugs op afstand app installeren op Samsung Galaxy S24 Nieuws van 24 oktober 2024
Synology dicht kritieke kwetsbaarheden in camera's en BeeStation-NAS'en
Synology dicht kritieke kwetsbaarheden in camera's en BeeStation-NAS'en Nieuws van 18 oktober 2024
Nederlandse onderzoekers vinden bluetoothkwetsbaarheden in drie EV-laders
Nederlandse onderzoekers vinden bluetoothkwetsbaarheden in drie EV-laders Nieuws van 9 augustus 2024
Google dicht nog een op Pwn2Own ontdekte zeroday in Chrome
Google dicht nog een op Pwn2Own ontdekte zeroday in Chrome Nieuws van 4 april 2024
Meer producten en artikelen
Beveiliging en antivirus NAS Synology Beveiliging Bugs Security

Reacties (66)

-Moderatie-faq
66
66
29
3
0
30
Wijzig sortering
braboman 1 november 2024 18:11
Tja... maar upgraden betekent wel dat transcoderen van media niet langer mogelijk is op de nas zelf... dat hebben ze met DSM7.2.2-build-72806 update namelijk verwijderd.
Magicbas @braboman1 november 2024 18:28
Je hoeft niet de OS upgrade te doen om Synology Photos te ugraden naar 1.6.2-0720
Ik draai ook niet de nieuwste build, maar heb inmiddels wel de update voor Photos.

Edit: ter volledigheid, ik zit op DSM 7.2.1-69057 Update 5 met Synology Photos 1.6.2-0720

[Reactie gewijzigd door Magicbas op 1 november 2024 18:30]

Stapper55 @Magicbas3 november 2024 11:11
Klopt, Ik wacht ook even met de update van het OS, maar het lek in synology photo's werd 5 dagen geleden al gedicht en gepushed.
B.V @braboman2 november 2024 09:52
Transcoderen werkt alleen niet meer met Synology's eigen Video Station software. Op de NAS zelf werkt het nog wel icm met andere software, zoals Plex bijv.

"Synology has removed the transcoding functionality of its own software. Transcoding on NAS is not affected. Before updating, keep in mind that the Video Station package has been removed from DSM 7.2.2. If you are using the Video Station package on your NAS environment, I suggest you move to another solution before updating to DSM 7.2.2. Plex, Jellyfin, Emby etc. can still transcode on the server"

Met DSM 7.2.2 is wél een Plex versie hoger dan v.1.41.1.9057 benodigd:

"Warning for Plex users: Any Plex version below v.1.41.1.9057 will not work"

Bron: Mariushosting
vmachiel @braboman1 november 2024 18:26
Nja alleen voor bepaalde applicaties. Plex werkt nog steeds prima.
Styreta @braboman2 november 2024 08:19
Voor plex op mijn syno nas had ik dat al uitgezet. Met 265 bleef dat maar haperen icm Plex. Software transcoding voor mijn enkele stream werkt prima.

Nu lees ik dat de update enkel transcoding in de eigen video app betrof. Geen idee of het gerelateerd was / is.
Macron 1 november 2024 17:18
Ik draai nog op DSM 6.2.4 met PhotoStation. Is het bekend op die kwetsbaarheid daar ook bestaat?
nelizmastr @Macron1 november 2024 22:20
DSM 6.2 is end of life, als het ding nog via het internet benaderbaar is haal hem daar dan af en dan zit 't wel snor.
logix147 @nelizmastr2 november 2024 00:12
Je kan hem nog redelijk veilig met Tailscale online houden. Alleen lokaal open en externe ips dichtgooien behalve de range die je van Tailscale krijgt - dan zit je best safe.
Gordian Knot @nelizmastr2 november 2024 08:43
Geldt dat ook voor DSM 7.1 dan?
RobbyTown @Gordian Knot6 november 2024 02:25
Voor versie 7.1 zal binnen nu en 30 dagen nog een update volgen.
download: Synology DSM 7.2.2 build 72806 Update 1

DSM 7.1 Critical Ongoing

[Reactie gewijzigd door RobbyTown op 6 november 2024 02:26]

Bonthouse @Macron1 november 2024 17:28
Genoeg andere zaken om je een (beetje) zorgen om te maken bij 6.2.4:

CVE-2022-22684: An OS command injection vulnerability in task management allowed remote authenticated users to execute arbitrary commands.
Link: https://nvd.nist.gov/vuln/detail/CVE-2022-22684

CVE-2022-45188: Multiple vulnerabilities from PWN2OWN TORONTO 2022 enabled remote attackers to execute arbitrary commands.
Link: https://pentest-tools.com...able-versions-check_22701

CVE-2022-27616: OS command injection vulnerability in the web API allowed remote authenticated users to execute arbitrary commands.
Link: https://www.synology.com/...dvisory/Synology_SA_22_03

CVE-2021-26563: Incorrect authorization in synoagentregisterd permitted local users to execute arbitrary code.
Link: https://www.synology.com/security/advisory/Synology_SA_21_03

CVE-2022-22680: Exposure of sensitive information in the web server component allowed remote access to sensitive information.
Link: https://www.synology.com/security/advisory/Synology_SA_22_01
StiefelPaul @Bonthouse2 november 2024 10:53
Gelukkig zijn al deze zaken gewoon gepatcht in laatste versie van DSM 6.2.4 (update 7)
angerfist-yentl 1 november 2024 18:36
Ik ben toch huiverig geworden om mijn Synology een updaten te geven bang wat voor features er nu weer verdwijnen |:( :X ik heb het zelf automatisch uitgezet maar weet dan ook dat dit apparaat dus in de toekomst niet meer veilig zal zijn en ik dus buiten synology moet kijken voor de opvolger :Y)
Madshark @angerfist-yentl1 november 2024 19:35
Kan je geen ongelijk geven, Synology is al een poosje bezig met enshittification. Gelukkig zijn er tegenwoordig erg goede alternatieven zoals TrueNas en unRAID.
InsanelyHack @Madshark1 november 2024 20:54
Ook jammer dat je dat niet gewoon een x86 variant NAS-os kan installeren op een synology.
jongetje @InsanelyHack1 november 2024 21:50
Het hele idee is toch juist het ecosysteem van synology waarom je dit koopt. Je gaat op een macbook toch ook niet alleen Windows zetten?
Dan kun je beter zelf een energiezuinig systeem bouwen.
InsanelyHack @jongetje1 november 2024 22:42
Ik heb zeker wèl een macbook waar ik alleen windows heb opgezet. Waarom? Omdat er een goede accu inzit, lekker portabel is en een fijn scherm heeft. Voor synology had je gelijk maar dat hele ecosysteem begint een beetje overbodig te worden door containers. Enige waar ik nog synology specifiek nodig heb is surveillance station.
I5413 @InsanelyHack1 november 2024 23:00
En als je frigate draait kan je ook zonder die app 🥸
Sailor69 @InsanelyHack2 november 2024 11:45
Yep en dat wordt een issue als je gebruik maakt van 265, dat is er ook uitgesloopt.
InsanelyHack @Sailor692 november 2024 13:18
265? De build van Windows bedoel je?
Sailor69 @InsanelyHack2 november 2024 14:02
Sorry h.265
https://www.synology.com/...s/eol-video-codec-support

[Reactie gewijzigd door Sailor69 op 2 november 2024 14:07]

.MaT @jongetje1 november 2024 22:01
Dat was ook een goed idee, tot ik op de limieten van DSM stoot en men features begon te verwijderen. De hardware kan nog mee dus mocht ik daar TrueNas op kunnen zetten was dat een snelle fix voor mijn problemen.

Ooit zal er een zelfbouw komen of een ander kant en klare hardwareoplossing met TrueNas mogelijkheid, maar dat vergt weer wat meer onderzoek.
logix147 @jongetje2 november 2024 00:11
Toch draai ik Parallels als consultant, omdat gros van de wereld toch Windows draait en onze software dus ook die taal moet kunnen spreken.

Men bedoelt meer dat veiligheid en minder functionaliteit niet in 1 ding gestopt moeten worden. Apple doet nu ook security updates los van os updates bijvoorbeeld.
FlorisVN @InsanelyHack2 november 2024 09:33
kijk anders eens naar xpenology

https://github.com/AuxXxilium/arc
Gronaldo @FlorisVN2 november 2024 10:05
Dat is net andersom dan hierboven gevraagd
InsanelyHack @Gronaldo2 november 2024 13:20
Nah hij heeft een punt. Ik ben idd aan het kijken om voor surveillance station idd over te stappen op een xpenology met een ds918 installatie op proxmox. Dan kan mijn nas er uit en kan ik gewoon truenas oid draaien.
Gronaldo @InsanelyHack2 november 2024 13:22
Zoals gezegd, andersom. Niet DSM of standaard hardware (Xpenology) maar een alternatief OS op Synology hardware.
oef! @Madshark1 november 2024 22:21
Er is een overlap tussen Synology en Truenas/unraid gebruikers maar realistisch gezien zijn beiden op een heel andere doelgroep gericht.
Hardfreak @angerfist-yentl2 november 2024 09:03
Dezelfde reden waarom ik ook nog op v6 zit. Ik weet nu niet exact wat er allemaal ontbreekt in v7 maar wat ik nu heb werkt gewoon dus ik zie niet in waarom ik zou upgraden naar v7.
Van buitenaf kan ik er alleen maar aan via mijn VPN dus dat zit hopelijk wel snor.
InsanelyHack @Hardfreak2 november 2024 15:34
Het is niet zo dat de nas alleen van buitenaf bereikbaar is of niet wat de veiligheid waarborgt. Als jij een kwetsbaarheid in jouw netwerk hebt of je klikt per ongeluk op een verkeerde link kan dat al code bevatten die de nas herkent de vulnerability misbruikt op jouw nas en de nas encrypt oid. Dus ook in jouw eigen netwerk is goede beveiliging noodzakelijk ook al communiceert niet alles met internet.
Hardfreak @InsanelyHack4 november 2024 10:35
Wel ja, daarom probeer ik op verschillende niveau's er toch voor te zorgen dat de beveiliging ok is. Zoveel mogelijk permissies blokkeren, firewall ingesteld en gewoon niet verbinden met de admin account tenzij het nodig is.
Als ze mijn NAS encrypten then so it be, daar zijn mijn offline backups voor.
InsanelyHack @Hardfreak4 november 2024 11:43
Als ze mijn NAS encrypten then so it be, daar zijn mijn offline backups voor.
Dit is ook een risicovolle aanname. Ransomware-aanvallen verlopen niet altijd snel. Het zijn vaak slimme aanvallen met meerdere fases. Zo kan de malware eerst stilletjes bestanden aanpassen met een algoritme, zodat ze niet direct als corrupt opvallen. Pas wanneer de malware op grote schaal bestanden heeft gemuteerd, begint het encrypten. Als bestanden al aangepast zijn en de retentieperiode verloopt, dan zijn ook de offline opgeslagen versies aangetast.

[Reactie gewijzigd door InsanelyHack op 4 november 2024 11:46]

Hardfreak @InsanelyHack4 november 2024 15:54
En daar valt niks aan te doen, hoe up2date een mens ook is, er zal altijd wel ergens een vulnerability zijn die ze kunnen gebruiken. De vraag is niet of maar wanneer. Ik lig er niet té wakker van, er zijn ergere dingen in het leven.
InsanelyHack @Hardfreak4 november 2024 19:53
Ja je kan er wel wat aan doen natuurlijk door het systeem zo up-to-date te houden maar verder eens met je hoor. Jouw data is voor die hackers minder interessant dan de data van een verzekeraar oid. Je gaat nooit duizenden euros uitgeven. Dan kan je beter je verlies nemen alhoewel dat voor iedereen anders is.
Anonymoussaurus
1 november 2024 17:02
Dat is niet alleen door een Nederlander ontdekt, maar door een groepje als ik het goed begrijp. Het gaat hierbij om 2 kwetsbaarheden. Zij mochten $30.000 en $20.000 verdelen, afhankelijk vna de kwetsbaarheid:TrueNAS, waarbij ook een lek is aangetroffen, heeft dit trouwens nog niet opgelost: https://security.truenas.com/

[Reactie gewijzigd door Anonymoussaurus op 1 november 2024 17:03]

Monochrome @Anonymoussaurus2 november 2024 11:37
Het gaat over deze:
https://x.com/thezdi/status/1849068671177531664

[Reactie gewijzigd door Monochrome op 2 november 2024 11:38]

ZatarraNL 1 november 2024 17:47
Gelden deze risicos ook voor de routers met srm os?
Z80 @ZatarraNL1 november 2024 18:29
Zit daar ook BeePhotos in?
En zie daar je hebt je antwoord.
enver63 1 november 2024 17:26
Dit gaat over Synology Photos, niet PhotoStation. Maar het zou zomaar kunnen dat daar ook problemen mee zijn.

Als de hardware van je NAS het aankan, zou ik upgraden naar DSM 7.2. Zelf had ik een DiskStation die dat niet kon, en toen ben ik toch maar een DS220+ gekocht. Hier op Tweakers bij vraag&aanbod was die niet duur.
Videopac 1 november 2024 18:42
In dezelfde contest zijn er ook problemen gevonden met QNAP en Truenas:
https://www.securityweek....oited-at-pwn2own-ireland/

[Reactie gewijzigd door Videopac op 2 november 2024 07:14]

CFke @Videopac2 november 2024 01:25
Link is beetje broken...
Videopac @CFke2 november 2024 07:14
Gerepareerd.
Roel1966 1 november 2024 21:51
Mede ook wel om deze rede gebruik ik de NAS niet buitenshuis en heb ik hem afgekoppeld van internet. Mijn NAS gebruik ik alleen voor oplsag van media en speel alles af via het lokale netwerk en een Dune HD mediaplayer.
jaspov 2 november 2024 09:49
Kan iemand dit svp toelichten?

"Malafide partijen kunnen de bug gebruiken om op afstand willekeurige code uit te voeren op het apparaat van gebruikers."

Ik heb op mijn synology geen functies aan staan om via het internet er bij te kunnen, zoals inloggen, cloud storage etc. Veiligheid boven gemak zeg maar,

Ben ik dan alsnog kwetsbaar hiervoor als ik niet de juiste update zou hebben (heb ik wel, hypothetisch). Oftewel is het een combinatie van software versie en NAS over internet bereikbaar of kunnen ze er sowieso op een of andere manier in als je niet de juiste software versie hebt?
Monochrome @jaspov2 november 2024 11:41
Als je ofwel port forwarding ofwel de quickconnect functionaliteit aan hebt ben je in elk geval bereikbaar vanaf het internet. Als je die uit hebt hoef je je ongepatcht alleen nog zorgen te maken over je netwerkgenoten.
jaspov @Monochrome3 november 2024 08:34
Super, dank voor het heldere antwoord.
Geekomatic 2 november 2024 12:04
Ik zou nooit apparaten met een OS van een kleine hardware fabrikant
direct aan het internet koppelen, tenzij dat intrinsiek nodig is (webcams, deurbellen).
Maar verwacht dan ook altijd security issues die vaak niet snel gefixed worden.
Voor een NAS dus liever een mainstream OS gebruiken als toegangspoort.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq