Een recent gedichte kwetsbaarheid in Synology DiskStation Manager maakte ongeautoriseerde toegang tot een NAS mogelijk. Een update sluit het beveiligingslek af.
Lees verder na de advertentie
Omzeilen van authenticatie via DN
Als aanvallers een kwetsbaarheid in Synology’s NAS-systeem DiskStation Manager (DSM) succesvol uitbuiten, kunnen zij toegang krijgen tot de netwerkopslag. Een beveiligingspatch moet dat voorkomen.
In een waarschuwing legt Synology uit dat externe aanvallers de authenticatie kunnen omzeilen als zij de Distinguished Name (DN) kennen. Hoe een dergelijke aanval precies zou verlopen, is tot nu toe onduidelijk. Ook is nog niet bekend of er al aanvallen hebben plaatsgevonden.
Tip!
Ontworpen voor creators en professionals: configureer jouw eigen ASUS ProArt P16 nu.
Getroffen en gepatchte DSM-versies
De kwetsbaarheid (CVE-2025-13392, met de classificatie “hoog”) treft volgens Synology uitsluitend DSM 7.2.2 en 7.3. DSM 7.2.1 blijft buiten schot. De bijgewerkte releases DSM 7.2.2-72806-5 en 7.3.1-86003-1 bevatten inmiddels een passende beveiligingsfix.
Herkomst van de kwetsbaarheid
De nu verholpen kwetsbaarheid werd ontdekt door deelnemers aan de hackerwedstrijd Pwn2Own. Eerder, begin november, dichtte Synology al een tijdens dezelfde competitie gevonden “kritieke” fout (CVE-2025-12686) in BeeStation. Bij misbruik daarvan kunnen aanvallers kwaadaardige code naar systemen uploaden en uitvoeren.
Tot slot
Het blijft verstandig om updates direct te installeren om het risico op misbruik te minimaliseren. Synology levert doorgaans snel patches, maar de uiteenlopende aard van recent ontdekte kwetsbaarheden onderstreept het belang van regelmatig onderhoud.
Tip!
Als je de Synology DSM auto update aan hebt staan is de Fixed Release reeds doorgevoerd (is bij ons vannacht geweest).
Bij sommige modellen wordt de benodigde update niet automatisch aangeboden. Synology noemt deze updates “staged rollout“. De update moet handmatig worden gedownload en geinstalleerd.