BSI: Kritische Synology DSM-Lücke entdeckt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine hochkritische Sicherheitswarnung für Synology DiskStation Manager (DSM) aktualisiert. Bei der als WID-SEC-2025-2659 geführten Lücke kann ein entfernter, anonymer Angreifer Sicherheitsvorkehrungen umgehen und sich Zugang zu anfälligen Systemen verschaffen. Synology hat am 27. Mai 2026 die vollständigen Details zu CVE-2025-13392 veröffentlicht – Betreiber von Synology NAS-Geräten müssen umgehend handeln.

Was ist die Sicherheitslücke CVE-2025-13392?

Die als CVE-2025-13392 katalogisierte Schwachstelle wurde ursprünglich bei der renommierten Pwn2Own-Hacking-Wettbewerbe entdeckt. Sicherheitsforscher Le Trong Phuc (chanze@VRC) und Cao Ngoc Quy (Chino Kafuu) demonstrierten erfolgreich einen Authentication Bypass im SSO-Komponenten von Synology DSM.

Die Schwachstelle entsteht durch eine unzureichende Prüfung auf ungewöhnliche oder außergewöhnliche Bedingungen (CWE-754) im SSO-Bereich. Ein entfernter Angreifer, der Kenntnis über den Distinguished Name (DN) hat, kann die Authentifizierung erfolgreich umgehen und so unbefugten Zugang zum System erlangen.

Die Bedrohungslage ist gravierend: Synology weist der Lücke den Schweregrad „Important“ zu, mit einem CVSS-3.1-Basiswert von 8,1. Der vollständige CVSS-Vektor lautet CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H – was bedeutet, dass der Angriff über das Netzwerk (AV:N) erfolgt, keine besonderen Privilegien (PR:N) und keine Benutzerinteraktion (UI:N) erforderlich sind. Bei erfolgreicher Ausnutzung sind hohe Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit möglich.

Betroffene DSM-Versionen

Synology hat nach der vollständigen Offenlegung am 27. Mai 2026 bestätigt, dass folgende Produktversionen betroffen sind:

Betroffene Versionen:

• DSM 7.3 – alle Versionen vor 7.3.1-86003-1 (Schweregrad: Important)
• DSM 7.2.2 – alle Versionen vor 7.2.2-72806-5 (Schweregrad: Important)

Nicht betroffen:

• DSM 7.2.1 – diese Version ist laut Synology nicht anfällig

Die betroffenen Versionen 7.2.2 und 7.3 gehören zu den aktuellsten DSM-Releases, die von vielen Unternehmen und Privatanwendern im Produktivbetrieb genutzt werden. Die hohe Verbreitung dieser Versionen erhöht das Potenzial für weitreichende Angriffe erheblich.

Wie funktioniert der Angriff?

Der Angriff nutzt eine Schwachstelle in der Single Sign-On (SSO)-Komponente von Synology DSM aus. Bei einer korrekten SSO-Implementierung sollte die Authentifizierung zuverlässig prüfen, ob eingehende Anfragen legitim sind und ob der anfragende Benutzer tatsächlich berechtigt ist.

Durch die CWE-754-Schwachstelle – also die fehlende Überprüfung auf außergewöhnliche Bedingungen – kann ein entfernter Angreifer, der den Distinguished Name (DN) einer gültigen Identität kennt, diese Prüfungen manipulieren. Das Ergebnis: Der Angreifer wird fälschlicherweise als legitim authentifizierter Benutzer akzeptiert, obwohl kein gültiges Passwort oder Token vorliegt.

Besonders kritisch ist, dass keine Benutzerinteraktion erforderlich ist – ein sogenannter „Zero-Click“-Angriff über das Netzwerk. Sobald ein Angreifer den DN kennt, kann er direkt die Authentifizierung umgehen und auf das NAS-System zugreifen.

Verfügbare Patches und Updates

Synology hat zeitnah Sicherheitsupdates bereitgestellt. Das Unternehmen veröffentlichte die vollständigen Details zur Schwachstelle erst am 27. Mai 2026 – nachdem genügend Zeit für die breite Verteilung der Patches verstrichen war. Diese Strategie gibt Administratoren die Möglichkeit, Systeme zu aktualisieren, bevor potenzielle Angreifer die vollständigen technischen Einzelheiten kennen.

Empfohlene Updates:

• DSM 7.3: Upgrade auf Version 7.3.1-86003-1 oder höher
• DSM 7.2.2: Upgrade auf Version 7.2.2-72806-5 oder höher

Wichtig: Synology gibt explizit an, dass es keine Workarounds oder Mitigationen außer dem Einspielen des Updates gibt. Administratoren, die keine automatischen Updates aktiviert haben, müssen manuell eingreifen.

Was sollten DSM-Betreiber jetzt tun?

Für Administratoren und Privatanwender, die Synology NAS-Systeme betreiben, ergibt sich eine klare Handlungsanweisung:

1. Sofortige Versionsprüfung: Öffnen Sie DSM und prüfen Sie unter Systemsteuerung → Info-Center → Allgemein die installierte DSM-Version.
2. Update einspielen: Falls Sie DSM 7.3 oder DSM 7.2.2 mit einer älteren Version als den genannten Patches einsetzen, führen Sie umgehend ein Update durch unter Systemsteuerung → Update & Wiederherstellen → DSM-Update.
3. Protokolle prüfen: Überprüfen Sie die Systemprotokolle auf ungewöhnliche Anmeldeversuche oder unautorisierte Zugriffe in den letzten Wochen.
4. Zugriffsüberwachung: Falls Sie DSM aus dem Internet erreichbar gemacht haben, prüfen Sie die Firewall-Regeln und beschränken Sie den Zugriff auf vertrauenswürdige IP-Adressen, bis das Update installiert ist.
5. Automatische Updates aktivieren: Aktivieren Sie für die Zukunft wichtige Updates automatisch, um bei zukünftigen Sicherheitslücken schneller reagieren zu können.

Weitere Synology-Sicherheitslücken im Blick

Die Sicherheitswarnung WID-SEC-2025-2659 ist nicht die einzige aktuelle Meldung zu Synology DSM. Das BSI und Synology haben in den vergangenen Monaten mehrere weitere Schwachstellen behandelt, darunter:

• Synology SA-24:20 (CVE-2024-10441): Kritische Schwachstelle mit CVSS 9.8, die Remote Code Execution ermöglicht – betroffen waren DSM-Versionen vor 7.2.2-72806-1.
• Synology SA-26:06: Weitere hochkritische Schwachstellen mit mehreren CVEs (CVE-2026-4036, CVE-2026-40530 bis CVE-2026-40539), die ebenfalls Sicherheitsvorkehrungen umgehen und Daten offenlegen können.

Diese Häufung von Schwachstellen zeigt, dass Synology NAS-Geräte ein attraktives Ziel für Angreifer sind – nicht zuletzt wegen ihrer weiten Verbreitung in Unternehmen und bei Privatanwendern.

Fazit

Die BSI-Warnung WID-SEC-2025-2659 und die damit verbundene CVE-2025-13392 stellen eine ernstzunehmende Bedrohung für alle Betreiber von Synology NAS-Systemen dar. Die Möglichkeit, dass ein entfernter, anonymer Angreifer Sicherheitsvorkehrungen umgehen und sich unautorisiert Zugang verschaffen kann, macht ein schnelles Handeln unerlässlich.

Administratoren, die DSM 7.3 oder DSM 7.2.2 einsetzen, sollten umgehend prüfen, ob die genannten Patch-Versionen bereits installiert sind. Wer noch nicht aktualisiert hat, muss dies jetzt nachholen – es gibt keine alternativen Workarounds. Die Kombination aus hohem CVSS-Wert (8,1), der nun verfügbaren öffentlichen Offenlegung und der breiten Verbreitung der betroffenen Versionen macht diese Lücke zu einem klaren Prioritätsfall für IT-Sicherheitsteams.

Regelmäßige Überwachung der BSI-Warnmeldungen und zeitnahes Einspielen von Herstellerupdates bleibt die wichtigste Verteidigungsstrategie gegen derartige Bedrohungen.

Quellen

• Synology Security Advisory SA-25:14 – Synology Inc. (27.05.2026 Update)
• BSI / CERT-Bund – WID-SEC-2025-2659 Warn- und Informationsdienst
• heise online – Synology closes security vulnerability from Pwn2Own (08.05.2025)
• Cyber Security News – Critical Synology Vulnerability
• CVE.org – CVE-2025-13392 Record
• news.de – Synology DiskStation Manager: BSI-Meldung zu Schwachstellen
• BSI – Technische Sicherheitshinweise und Warnungen
• Synology Product Security Advisory – Übersicht aller Sicherheitsmeldungen