OpenSSL-Sicherheitslücken bei NAS von Qnap und Synology
In OpenSSL wurden Ende August zwei Sicherheitslücken geschlossen. Trotzdem sind NAS von Qnap und Synology weiter davon betroffen.
Das Wichtigste in Kürze
- Sowohl bei Qnap als auch Synology wird OpenSSL zur Verschlüsselung verwendet.
- Im Sicherheitsstandard wurden Ende letzten Monat zwei Lücken geschlossen.
- Bei den NAS-Herstellern befinden sich entsprechende Patches erst in Arbeit.
Bei den zwei NAS-Anbietern Qnap und Synology kommt zur sicheren Verschlüsselung von Datenübertragungen OpenSSL zum Einsatz. In dieser Software waren bis vor kurzem die Sicherheitslücken «CVE-2021-3711» und «CVE-2021-3712» offen, so das «IT-Magazine». Obwohl diese hier nun geschlossen wurden, bleiben die NAS aktuell noch angreifbar.
Qnap und Synology müssen OpenSSL-Lücken noch patchen
Bei taiwanesischen NAS-Hersteller Qnap ist dabei lediglich der «Hybrid Backup Sync 3» im Betriebssystem betroffen. Bereits zu Beginn der Woche kündigte das Unternehmen an, das Problem zu untersuchen und eine Lösung zu liefern.
Ähnlich sieht es beim Konkurrenten Synology aus, wo ebenfalls nur Teile der Software betroffen sind. Hier sind durch das Leck der eigene DiskStation Manager, der Router Manager, VPN Plus Server und VPN Server angreifbar.
Durch die Sicherheitslücken ist es Angreifern möglich, durch einen Pufferüberlauf Remote-Zugriff auf die NAS zu erhalten. Dies gilt jedoch nur für NAS, welche am Internet angeschlossen sind.
