Synology warnt vor Samba-Schwachstellen

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.960
synology.jpg
Synology hat jetzt eine Sicherheitswarnung veröffentlicht, in der das Unternehmen auf kritische Schwachstellen im Samba-Modul hinweist. Die Lücken klaffen sowohl im Synology DiskStation-Manager (DSM) als auch im Synology Router-Manager (SRM) sowie im SMB-Service.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Naja, wer nutzt denn noch SMBv1?
Bei Windows 10 ist es seit 1709 und in MacOS seit Catalina per Default deaktiviert, daher sollte man das auch auf dem NAS deaktivieren.
Und Geräte, die nur SMBv1 können, sollte man ausmustern.
SMBv1 ist bekannt dafür, viele Sicherheitslücken zu haben und einige davon lassen sich nicht stopfen, weil sie auf Designfehlern in SMBv1 beruhen.
 
SMBv1 ist insbesondere bei Maschinen noch Gang und Gebe. Bspw. eine Fräse für mehrere hundert tausen Euro kann bspw. ein embedded Win7 (mit Glück) haben, will aber auf die Pläne auf dem Server zugreifen, damit die Arbeiten ausgeführt werden können. Bank-Automaten sitzen häufig noch auf WinXP-Embedded ...
Auch bei MFPs kann dieses eine wichtige Ausnahme sein, damit der Netzwerkscan noch funktioniert.
 
Naja, wer nutzt denn noch SMBv1?
Bei Windows 10 ist es seit 1709 und in MacOS seit Catalina per Default deaktiviert, daher sollte man das auch auf dem NAS deaktivieren.
Und Geräte, die nur SMBv1 können, sollte man ausmustern.
SMBv1 ist bekannt dafür, viele Sicherheitslücken zu haben und einige davon lassen sich nicht stopfen, weil sie auf Designfehlern in SMBv1 beruhen.
alte MFPs etc... / Röntgen / Sono Geräte wo auf der NAS Aufträge abrufen / ablegen etc... - hab leider auch letzte Woche bei einem Kunden SMBv1 von der letzten Terminal-Server Sammlung entfernen können.....

Übrigens SMBv1 ist nicht automatisch bei Win10 deaktiviert, wenn du es z.B. upgradest / und es in den letzten 3 oder 6 Monaten genutzt wurde bleibt es auch weiterhin aktiv bzw. das feature installiert.
 
Sonos setzt nach wie vor auf SMBv1. Die haben auch nicht die Absicht das zu ändern.
Wenn Du ein ganz aktuelles Multifunktionsgerät (Drucker/Kopierer/Scanner) kaufst, ist die Wahrscheinlichkeit das selbiger nur auf SMBv1 Freigaben Scannen kann nahe 100%.
Maschinenbau. Steuerungen die, wie hier schon erwähnt, mit W7 Embedded jetzt noch neu ausgeliefert werden.
Die Liste ist endlos.
Ich versuche grade bei uns in der Firma Budget zu bekommen um 2 sehr teure Profilzuschnittsmaschinen mit neuen passenden PCs vom Hersteller zu versehen, die nicht mehr Windows XP drauf haben.
Ne Maschine die ne viertel Million oder mehr kostet tauscht man nicht wegen einem alten PC Betriebssystem. Die Dinger laufen oft 15-20 Jahre.
 
Bspw. eine Fräse für mehrere hundert tausen Euro kann bspw. ein embedded Win7 (mit Glück) haben, will aber auf die Pläne auf dem Server zugreifen,
Dann muss die eben einen eigenen Server bekommen, auf dem SMBv1 offen ist.

Bank-Automaten sitzen häufig noch auf WinXP-Embedded ...
Ausmustern.

Auch bei MFPs kann dieses eine wichtige Ausnahme sein, damit der Netzwerkscan noch funktioniert.
Ausmustern.
 
Mit Windows Vista wurde SMB 2.0 eingeführt, Windows 7 kann SMB 2.1, Win 8 kann 3.0, Win 10 kann 3.11.
Bei meinem Windows 7 habe ich per Registry SMBv1 abgeschaltet.
Mein NAS läuft auf SMBv2 only (SMBv3.x kann es noch nicht).
Ich habe keine Probleme damit. Alle meine Geräte (AV-Receiver, Streamer, etc.) können problemlos auf das NAS zugreifen.
In meiner Firma wurde auch auf allen PCs, Servern und NAS SMBv1 abgeschaltet.
Auch da gibts keine Probleme.
Seit da SMBv1 abgeschaltet wurde, hat sich sogar die Geschwindigkeit des Netzwerkzugriffs verbessert.
 
Mein ZyXEL NBG6617 mit OpenWrt 21.02.1 hat genügend Flash-Speicher (32 MB) für Samba4 und somit SMB-Protokoll-Version V3. Mit ntlmssp-Verschlüsselung komme ich allerdings nur auf 4 MB/s Übertragungsrate.
 
Und das spricht leider nicht für Sonos. Habe deshalb noch nen 2tes Synology NAS, ein DS120er in Betrieb genommen, auf dem nur Musik liegt
Plex wäre noch eine Option. Wobei die kritischen SMBv1 Lücken eh nur auf Windows zutreffen. Dass das Passwort per Klartext durchs Netzwerk geht, muss auch erstmal in der SMB.conf aktiviert werden (steht im Bug Report). Und dann die Frage wie ein Angreifer das mitschneiden will. Wird ja wohl kaum jemand SMB über das Internet ohne VPN nutzen.
 
Typische Denkweise aus dem letzten Jahrtausend - man kauft sich eine Maschine (oder auch ne Software oder Website) und betreibt die dann zig Jahre unverändert. Und hinterher wundert man sich, wie sich der Trojaner durchs ganze Firmennetz verbreiten konnte...
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh