Synology Surveillance Station: Mehrere Lücken gefährden Sicherheit
In der Software Surveillance Station von Synology klaffen Sicherheitslecks, die Angreifern etwa Codeschmuggel erlauben. Updates stopfen sie.
www.heise.de
Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellenEs gibt 116 Antworten in diesem Thema, welches 21.272 mal aufgerufen wurde. Der letzte Beitrag () ist von gierig.
Puh, erschreckend wenn man das so liest und wie das ganze nur aufgefallen ist.
Da fragt man sich , wann es denn soweit ist, bis nix mehr geht und aus gründen der Sicherheit alles abgeschaltet werden muss. Irgendwie erinnert mich das an diverse Filme die man früher so gesehen hat, Mad Max & Co lassen grüßen Schon gruselig genug, wenn man sieht wie sehr Server die im Netz stehen unter Beschuss sind. Meine Crowdsec Alarmliste bei meinem mailcow Server ist täglich gut gefüllt. Da kommt man schon ins Grübeln was denn da draußen so los ist. Wenn man dann noch so liest wieviele Lücken zur Zeit bei QNAP und Synology gemeldet werden, da bin froh das meine Kisten von außen nicht erreichbar sind.
Ist schon schade, wie sehr sich das Netz zum negativen Entwickelt.
Da fragt man sich , wann es denn soweit ist, bis nix mehr geht und aus gründen der Sicherheit alles abgeschaltet werden muss.
Klingt nach einer schwubbler Theorie „the great Shutdown“
Das wird nicht passieren. Schau, böse Lücke gefunden, böse Lücke gefixt. Genau das was seit
Jahrzehnten gemacht wird. Klar Backdoor für Systeme mit openssh + SystemD (soweit bekannt)
VERMUTLICH nicht von einem Scripkiddie sondern vom bösen Organisation unter Kontrolle
von <Hier hier bitte einfügen> (Staat, Illuminaten, geimpfte, Mafia, King of Queens, Echsen Menschen,
Katholische Homophobe LKW Fahrer mit einem Fetisch für Thermokanne e.v)
Dennoch, gefunden gefixt und die großen haben alle Updates rausgehauen.
Fertig. Kuckt grade eh jeder hin und drauf wird sich keiner trauen sein Aktivierungs
Wort loszuschicken.
Wenn du hier was mitnehmen kannst ist es das Opensource doch im Vorteil ist
weil du dir den Code anschauen kannst. Klar das passiert zu oft hinterher
und nicht schon vorher.. aber es geht wenn willen und wissen da sind.
Wenn Microsofts paint.net nur drauf waren das jemand ein Rotes Bild Malt
mit 4 Pixel in #232323und dabei CTRL-ALT-F9-!-Space-Kartoffel
hält und mit der Maus Gegenden Uhrzeiger bewegt damit
die app anfängt „bösen Code nachzuladen“ dann bekommt das so schnell
Keiner Raus. (Alternativ einfach ein Aktivierung wort an einem MS IIS Server,
oder noch besser, ne mail mit Special Header und Passwort über einen Exchange server)
Da kommt man schon ins Grübeln was denn da draußen so los ist. Wenn man dann noch so liest wieviele Lücken zur Zeit bei QNAP und Synology gemeldet werden
Das betrifft nicht nur QNAP oder Synology sondern jedes System, nur werde die von viele Hersteller nicht öffentlich bekanntgeben.
Gestern ging doch noch ein Ramsonwarning rum, die ESXi-Server betrifft - auch ein riesen Sicherheitsproblem, das kann ganze Firme lahmlegen.
Ein wichtiges Sicherheitsupdate schließt eine Schwachstelle im BIOS von Servern des Computerherstellers Dell.
Und ich habe Dell, ESXI und Synology.........Arbeit 😉
Das betrifft nicht nur QNAP oder Synology sondern jedes System, nur werde die von viele Hersteller nicht öffentlich bekanntgeben.
Gestern ging doch noch ein Ramsonwarning rum, die ESXi-Server betrifft - auch ein riesen Sicherheitsproblem, das kann ganze Firme lahmlegen.
Hi Tomcat,
ja, das ist mir schon klar, die beiden von mir aufgezählten, sind ja derzeit immer wieder in den Schlagzeilen und daher mal stellvertretend von mir aufgezählt worden. Ich finde es ja auch in Ordnung dass die Lücken öffentlich bekannt gemacht werden. Besser als dieses unter dem Tisch kehren und hoffen das schon nichts passieren wird.
Wenn man sich mit dem Thema ein bisschen auseinandersetzt ist es schon erschreckend wie viele Leute immer noch alles auf die leichte Schulter nehmen und sich um updates und Aktualisierungen nicht kümmern oder für alle Online Konten die gleichen Passwörter verwenden.
Ja, 100% Sicherheit gibt es leider nicht und durch die KIs wird es auch nicht wirklich besser. Denn leider kann man Sie für was gutes und leider auch für das Gegenteil einsetzen. Wie mit allen Erfindungen die ursprünglich einen guten Hintergedanken hatten.
Bin natürlich offen für neues und Verteufel auch nicht gleich alles. Hab zum Beispiel die KI für die bash Skript Programmierung für mich entdeckt. Für so etwas ist das echt genial. Hab damit schon einige Skripte für meine Linux Kisten generieren lassen, die ich so vermutlich niemals hinbekommen hätte. Das tolle daran, man muss dafür nicht endlose Webseiten mit Google durchsuchen um sich ein Skript zusammen zubauen was dann hoffentlich zum gewünschten Ziel führt. Einfach seine Ziele die das Skript erreichen soll, so gut wie möglich beschreiben und die Resultate können sich sehen lassen. Eventuell noch die ein oder andere Korrektur hinzufügen lassen und fertig ist das Skript. Das ist ideal für Leute wie mich, die nicht wirklich Programmieren können und sich trotzdem Lösungen für ihre Aufgaben bauen können.
Aber wir schweifen vom Thema ab ...
Klingt nach einer schwubbler Theorie „the great Shutdown“
Naja, ich bin weis Gott kein Verschwörungstheoretiker. Trotzdem glaube ich schon daran, dass irgendwann mal der Punkt kommt, wo uns alles um die Ohren fliegen wird. Hoffentlich erlebe ich das nicht mehr mit, dazu mag ich den ganzen Computer Schnickschnack viel zu sehr.
Beschäftige mich jetzt schon seit 1983 mit den Computern und deren Hardware. Bin praktisch mit den ganzen Entwicklungsstufen aufgewachsen und habe auch noch 1500,- DM für einen CD-Brenner ausgegeben müssen um meine eigenen Musik CDs brennen zu dürfen.
[...]
Wenn du hier was mitnehmen kannst ist es das Opensource doch im Vorteil ist
weil du dir den Code anschauen kannst. Klar das passiert zu oft hinterher
und nicht schon vorher.. aber es geht wenn willen und wissen da sind.
[...]
Ohne Frage und das ist auch gut so. Setze Zuhause soweit es möglich ist, auch nur OpenSource Software ein. Finde es auch wirklich gut, dass so viele daran arbeiten und ihr wissen einfließen lassen. Würde da auch gern mitmischen, doch leider habe ich kein Talent fürs Programmieren wie weiter oben schon erwähnt.
Software ist heutzutage sehr Komplex geworden. Ich bewunder die Leute, die da überhaupt noch die Übersicht behalten können und durchblicken, Doch leider hat man zunehmend das Gefühl, das mit jeder geschlossenen/gefixte Lücke eventuell eine andere Lücke an anderer Stelle unwissentlich geöffnet wird ... So geht das Katz und Maus Spiel wieder von vorne los.
Als normale Sicherheitslücke würde ich jetzt gezieltes einbauen einer Backdoor nicht bezeichnen. Da wurde schon ein ziemlicher Aufwand betrieben um in die Quelle eines Softwarepaketes eine Backdoor einzubauen. Für mich ist eine norale Sicherheitslücke etwas, was einfach durch Programmierfehler oder der Verkettung solcher unbewusst entsteht.
Man kann wohl davon ausgehen, dass nicht ein Gerät wirklich sicher ist. Lediglich entsteht die Frage wie Aufwendig das Ausnutzen ist und ob das Ausnutzen nur lokal oder remote, mit oder ohne Anmeldedaten möglich ist. Wie Curiosity schon sagt, möchte ich den Tag an dem der Menschheit der Großteil des komplexen IT Dschungels um die Ohren fliegt auch nicht erleben. Irgendwann wird es wohl kommen, sofern wir uns nicht vorher selbst von der Erde nuken.
BlackSpy auf Arbeit habt ihr doch bestimmt auch Microsoft oder? Die dürfen in der Runde mit ihren Überraschungseiern doch nicht unerwähnt bleiben
Wenn man sich mit dem Thema ein bisschen auseinandersetzt ist es schon erschreckend wie viele Leute immer noch alles auf die leichte Schulter nehmen und sich um updates und Aktualisierungen nicht kümmern oder für alle Online Konten die gleichen Passwörter verwenden.
Es gibt eigentlich zwei Problem:
- das eine ist genau das was du sagt, die Leute setzen sich nicht mit dem Theman auseinander, das betrifft Privatpersonen genauso wie Firmen - gerade Handwerksbetriebe und der Mittelstand sind das sowas von Beratungs-Resistent - eigene Erfahrung aus 2 Jahrn bei einem IT-Dienstleister,
Das kannst denen 10mal sagen, die müssen was für die Sicherheit tun und investieren, weil der Firewall schon 3 Jahre End-of-Live ist.
Kein Geld für da - aber dann kommt Samstags morgens der Anruf, Firma wurde gehackt, Produktion steht, nichts geht mehr, wir brauchen sofort Hilfe.
Was die an Geld zahlen müssen für Rettungsaktionen, hätte für 10 Firewalls locker gereicht ink. 10 Jahre Wartungsvertrag.
- das zweite Problem ist: Viele Leute, das erlebe ich in jedem Bereich immer wieder, sehen zwei Youtube-Videos und glauben dann, sie könnten z.b. ne Firewall konfigurieren. Machen blind alles nach, aber aber nicht im Ansatz verstanden, wie es funktioniert - und genau das ist eine riesengroße Gefahr.
Wenn ich nicht weiß wie eine Firewall funktioniert, kann ich die nicht so konfigurieren, wie es für meine Anwendungszwecke sein soll.
Ich hab mit ner OPNSense auch vor 2 Jahren bei Null angefangen, mit dem Unterschied aber, das ich aus dem IT-Bereich kommen und vorher schon viel Netzwerk gemach habe, u.a. auch Firewall, VPN, Standortvernetzungen usw konfiguriert habe. Aber dennoch, anderes Produkt, andere Herangehensweise.
Wenn mir heute einer ne Sophos vorsetzt, müsste ich mich da auch erst wieder einarbeiten.
Da stimme ich dir voll zu. Das kenne ich zur genüge mit der Lockerheit in den Firmen. Bei uns auf der Arbeit (Gesundheitswesen) gab es im Netzwerk nur eine Submaske 172.16.0.0/16 (Lange Jahre war das so). Da war alles drin und man konnte sich austoben. In dem Netz habe ich meine Erfahrungen mit Netzwerk Sammeln und austoben dürfen (Einige Aktionen auch mit Absprache der IT Leitung). Ich persönlich komme auch nicht aus dem IT Sektor, für mich ist das einzig und allein, ein Hobby und entsprechenden Interesse daran. Im Netzwerk habe ich dann auch einige Fahrlässigkeiten (rechte Vergabe in der Dateifreigaben, gravierende Lücken gefunden und auch brav unserer IT gemeldet, damit sie sich kümmern können, bevor noch was schlimmes passiert. Nach Monaten habe ich es dann nochmals überprüft ob die Lücke durch einen einfachen Software Patch bzw. Update inzwischen behoben worden ist. Aber nö! Die Lücke war immer noch da. Nur mal so zur Info, man bekam durch die Lücke (Webmin, war so ziemlich auf einige wichtige Server (Intranet, Proxy, Mailserver) installiert gewesen) über eine Spezielle Abfrage bekam man root Rechte und konnte dadurch jede Datei vom Server laden ohne auch nur Ansatzweise eingeloggt gewesen zu sein. Eine einfache URL aufrufen und schon konnte man die Proxy Passwordliste, die /etc/shadow Datei usw. runterladen. Man musste nur wissen wie die Datei heißt und wo sie liegt.
Die Hash Dateien dann mit dem nächsten Programm durchlaufen lassen und schon hatte man jede menge Passwörter inkl. root Passwort zusammen. Man waren das noch Zeiten.
Jetzt ist es zum Glück besser geworden und die IT Sicherheit unterliegt nun einen externen Anbieter.
Published: April 18, 2024
Version: 1.0
Revision: 1.0
Summary 1 of 3
An Improper Access Control could allow a malicious actor authenticated in the API to enable Android Debug Bridge (ADB) and make unsupported changes to the system.
Affected Products:
UniFi Connect EV Station (Version 1.1.18 and earlier)
UniFi Connect EV Station Pro (Version 1.1.18 and earlier)
UniFi Access G2 Reader Pro (Version 1.2.172 and earlier)
UniFi Access Reader Pro (Version 2.7.238 and earlier)
UniFi Access Intercom (Version 1.0.66 and earlier)
UniFi Access Intercom Viewer (Version 1.0.5 and earlier)
UniFi Connect Display (Version 1.9.324 and earlier)
UniFi Connect Display Cast (Version 1.6.225 and earlier)
Mitigation:
Update UniFi Connect Application to Version 3.10.7 or later.
Update UniFi Connect EV Station to Version 1.2.15 or later.
Update UniFi Connect EV Station Pro to Version 1.2.15 or later.
Update UniFi Access G2 Reader Pro Version 1.3.37 or later.
Update UniFi Access Reader Pro Version 2.8.19 or later.
Update UniFi Access Intercom Version 1.1.32 or later.
Update UniFi Access Intercom Viewer Version 1.1.6 or later.
Update UniFi Connect Display to Version 1.11.348 or later.
Update UniFi Connect Display Cast to Version 1.8.255 or later.
Impact:
CVSS v3.0 Severity and Metrics:
Base Score: 2.2 Low
Vector:
CVSS: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:N
CVE: CVE-2024-29206 (Synacktiv and Sina Kheirkhah at Zero Day Initiative - Pwn2Own Automotive 2024 Tokyo)
Summary 2 of 3
An Improper Certificate Validation could allow a malicious actor with access to an adjacent network to take control of the system.
Affected Products:
UniFi Connect Application (Version 3.7.9 and earlier)
UniFi Connect EV Station (Version 1.1.18 and earlier)
UniFi Connect EV Station Pro (Version 1.1.18 and earlier)
UniFi Connect Display (Version 1.9.324 and earlier)
UniFi Connect Display Cast (Version 1.6.225 and earlier)
Mitigation:
Update UniFi Connect Application to Version 3.10.7 or later.
Update UniFi Connect EV Station to Version 1.2.15 or later.
Update UniFi Connect EV Station Pro to Version 1.2.15 or later.
Update UniFi Connect Display to Version 1.11.348 or later.
Update UniFi Connect Display Cast to Version 1.8.255 or later.
Impact:
CVSS v3.0 Severity and Metrics:
Base Score: 7.5 High
Vector:
CVSS: CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE: CVE-2024-29207 (Synacktiv at Zero Day Initiative - Pwn2Own Automotive 2024 Tokyo)
Summary 3 of 3
An Unverified Password Change could allow a malicious actor with API access to the device to change the system password without knowing the previous password.
Affected Products:
UniFi Connect EV Station (Version 1.1.18 and earlier)
UniFi Connect EV Station Pro (Version 1.1.18 and earlier)
UniFi Connect Display (Version 1.9.324 and earlier)
UniFi Connect Display Cast (Version 1.6.225 and earlier)
Mitigation:
Update UniFi Connect Application to Version 3.10.7 or later.
Update UniFi Connect EV Station to Version 1.2.15 or later.
Update UniFi Connect EV Station Pro to Version 1.2.15 or later.
Update UniFi Connect Display to Version 1.11.348 or later.
Update UniFi Connect Display Cast to Version 1.8.255 or later.
Impact:
CVSS v3.0 Severity and Metrics:
Base Score: 2.2 Low
Vector:
CVSS: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:N
CVE: CVE-2024-29208 (Synacktiv at Zero Day Initiative - Pwn2Own Automotive 2024 Tokyo )
Reference Links:
https://community.ui.com/releases/UniFi-Access-Intercom-1-1-32/1aae771e-2bf1-427f-ad19-8f2dfbf15b1c
Lücke in pfSense
Quelle Heise.de
Wer pfSense Plus verwendet sollte auf Version 24.03 und bei der Community Edition auf Version 2.8.0 updaten
Wer pfSense Plus verwendet sollte auf Version 24.03 und bei der Community Edition auf Version 2.8.0 updaten
Wer ne Version 23.09.1 nutzt, also 7 Monate alt, der sollte wirklich mal über seine Sicherheitsstrategie nachdenken.
Ein Problem ist natürlich, das gerade die Community-Edition nicht sonderlich oft Updates bekommt - da ziehe ich OPNSense wegen vor, die ständig neue Updates nachgereicht bekommt, alleine diese Jahr schon 9 Updates
Zur allgemeinen Info....
Neue EU-Sicherheitsrichtlinie NIS 2: MFA ist Pflicht
die neue EU-Sicherheitsrichtlinie NIS 2 verpflichtet Unternehmen zu strikten Kontrollen
von Zugriffen auf IT-Systeme und Netzwerke.
Informieren Sie sich jetzt, was das für Sie bedeutet,
und wie Sie die in der NIS 2 Directive vorgeschriebene Multi-Faktor-Authentifizierung risikomindernd realisieren!
Erfahren Sie in diesem Whitepaper, ob Ihr Unternehmen von der neuen Network & Information Security Directive betroffen ist,
welche Auswirkungen die NIS 2 auf die Kriterien der Zugriffskontrolle hat
und wie Sie mit der richtigen MFA-Strategie alle Maßgaben effizient und sicher erfüllen.
Lesen Sie, welche Rolle dabei der Authentifizierungsprotokoll-Standard FIDO 2 (Fast IDentity Online) spielt.
Die Themen und Aspekte in diesem Whitepaper:
Muss man solche Links nicht mit "Dauerwerbung" kenntlich machen, was anderes ist der Swissbit-Artikel nämlich nicht, eine Werbung für deren USB-Sticks.
Mal gut, das 2FA in vielen großen Unternehmen längst Standart ist - der Mittelstand hängt da eher hinterher
Der ist gut🤣
Published: June 11, 2024
Version: 1.0
Revision: 1.0
UniFi iOS app 10.15.0 introduces a misconfiguration on 2nd Generation UniFi Access Points configured as standalone (not using UniFi Network Application) that could cause the SSID name to change and/or the WiFi Password to be removed on the 5GHz Radio.
This vulnerability is fixed in UniFi iOS app 10.15.2 and later.
Affected Products:
Applicable UniFi 2nd Generation Access Points that are both (1) configured as standalone (not using UniFi Network Application) and (2) configured by UniFi iOS app 10.15.0 or 10.15.1.
Mitigation:
Update UniFi iOS App to Version 10.15.2 or later and override the SSID name and password, or factory reset the AP.
Impact:
CVSS v3.0 Severity and Metrics:
Base Score: 4.8 Medium
Vector:
CVSS: CVSS:3.0/AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N
CVE: CVE-2024-34786
Reference Links:
https://community.ui.com/releases/UniFi-iOS-10-15-2/89e5ec77-ba8d-424a-bea5-ded571bbd2fa
zur Zeit sind 71 Mitglieder (davon 3 unsichtbar) und 734 Gäste online - Rekord: 129 Benutzer ()