NAS-apparaten Synology vatbaar voor OpenSSL-kwetsbaarheden - Update statement

18 reacties

Synology heeft bekendgemaakt dat een deel van zijn apparaten vatbaar is voor kwetsbaarheden die eerder deze week door OpenSSL zijn gemeld. Volgens de fabrikant zouden de beveiligingsproblemen zich kunnen manifesteren als remote code execution (RCE) en denial-of-service (DoS) bugs.

De twee bugs die van invloed zijn op OpenSSL, CVE-2021-3711 en CVE-2021-3712, zou aanvallers in staat stellen om op afstand denial-of-service-aanvallen te gebruiken of willekeurige code uit te voeren. Dit zou mogelijk zijn via: DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server, and VPN Server.

De eerste bug wordt veroorzaakt door een op ‘heap gebaseerde bufferoverflow’ in het SM2-cryptografische algoritme. Dit leidt over het algemeen tot crashes maar kan ook door aanvallers worden misbruikt voor het uitvoeren van willekeurige code. 

De tweede bug is een overschrijding van de leesbuffer tijdens het verwerken van ASN.1-strings die kunnen worden misbruikt om kwetsbare apps te laten crashen bij DoS-aanvallen of om toegang te krijgen tot geheugeninhoud zoals privésleutels of andere gevoelige informatie.

Het OpenSSL-ontwikkelteam heeft op 24 augustus versie 1.1.1l gepubliceerd om de kwetsbaarheden aan te pakken. Synology heeft echter aangegeven dat releases voor getroffen producten ‘lopend‘ of ‘in behandeling zijn‘. Hoewel de nas-fabrikant geen exacte datum noch tijdlijn heeft gegeven voor het uitgeven van een gepatchte firmware voor de kwetsbare apparaten, heeft het aangegeven dat de getroffen software meestal binnen 90 dagen na de publicatie van het beveiligingsadvies is oplost.

Update 06-09-2021, 11:59 - 

Inmiddels heeft Synology zich uitgelaten over het beveiligingsrisico:

Synology-SA-21:24 OpenSSL omvat twee kwetsbaarheden, CVE-2021-3711 en CVE-2021-3712.

CVE-2021-3711 heeft geen invloed op de meeste Synology-apparaten, aangezien deze niet standaard gebruikmaken van SM2-encryptie. Hoewel onze nas-toestellen momenteel met een getroffen versie van OpenSSL worden verkocht, kan er enkel van een beveiligingsrisico worden gesproken indien administrators software van een derde partij met SM2-versleuteling gebruiken.

CVE-2021-3712 betreft specifieke functionaliteit omtrent het aanmaken van x509-certificaten (gebruikt voor beveiligingsprotocollen zoals https) die denial-of-service kan veroorzaken op het getroffen apparaat. Het is moeilijk om hier misbruik van te maken, aangezien hiervoor beheerdersrechten vereist zijn.

Verder benadrukt de fabrikant dat de prioriteit van updates wordt gebaseerd op hoe vaak de getroffen configuraties voorkomen, de complexiteit van het misbruiken van het lek en de omvang van de potentiële schade die veroorzaakt kan worden. Naar eigen zeggen moet het volstaan om de voorgenoemde risico's binnen de gebruikelijke termijn van 90 dagen te verhelpen.

Bron: Synology

« Vorig bericht Volgend bericht »
0
*