Kritische Schwachstelle in drei Synology-Produkten gepatcht

Die Schwachstelle CVE-2024-10441 betrifft den DiskStation Manager (DSM), den BeeStation Manager (BSM) und den Unified Controller (DSMUC) von Synology. Angreifende können über diese Lücke beliebigen (Schad-)Code auf dem Gerät ausführen. Dadurch ist ein RCE-Angriff (Remote Code Execution) möglich, der in einer vollständigen Kompromittierung enden kann. Für den Angriff bedarf es keiner Interaktion des Users.

Eine Liste der betroffenen Versionen und der entsprechenden Patches entnehmen Sie den Links zu Synology (siehe unten). Die Sicherheitslücke besitzt einen CVSS-Base-Score von 9.8/10. Ob die Lücke bereits tatsächlich für kriminelle Zwecke ausgenutzt wurde, ist nicht bekannt.

Synology ist ein taiwanesisches Unternehmen, das auf die Herstellung von NAS-Geräten spezialisiert ist. Der Hauptsitz ist in der Hauptstadt Taipeh.

Der Hersteller empfiehlt, die zur Verfügung gestellten Updates rasch einzuspielen. Dies gilt umso mehr, da Mitigationsmaßnahmen nicht bekannt sind.