Wanneer je een Synology nas bezit, moet je de systeemsoftware bijwerken. Zoniet zouden aanvallers een kritieke kwetsbaarheid (CVE-2018-1160) kunnen uitbuiten en kwaadaardige code op jouw apparaten kunnen uitvoeren. Een dergelijke aanval blijkt mogelijk te zijn via het internet zonder aanmelding.
Het lek is te vinden in verschillende versies van DiskStation Manager (DSM), SkyNAS, Synology Router Manager (SRM) en VS960HD. Met de volgende updates hebben de Synology-ontwikkelaars het lek gedicht: DSM 6.2.1-23824-3, SRM 1.2-7742-5 en VS960HD 2.3.3.3-1646. Veiligheidsupdates voor DSM 5.2 en 6.1 en SkyNAS zijn nog niet beschikbaar.
Door een bug in de Netatalk-softwaresuite konden aanvallers een geheugenfout veroorzaken en zo hun eigen code uitvoeren. Vanaf versie 3.1.12 is de logverzameling beveiligd, zo meldt Synology in een beveiligingswaarschuwing.
Vanwege een andere waarschuwing hebben de Synology-ontwikkelaars in DSM 5.2-5967-9, 6.1.7-15284-3 en 6.2.1-23824-4 een andere kritieke kwetsbaarheid op weten te lossen. Succesvol uitvoeren van deze exploit zou ook kwaadaardige code naar systemen kunnen brengen. Verdere informatie, zoals een CVE-nummer, is nog in behandeling.
