Kako odmah djelovati
Synology je objavio hitne sigurnosne zakrpe za više kritičnih ranjivosti otkrivenih u MailPlus Serveru, jednom od najpopularnijih rješenja za samostalno hostanje elektroničke pošte na Synology NAS uređajima.
Synology je popravio kritične ranjivosti u MailPlus Serveru, softverskom paketu koji se koristi za pokretanje privatne infrastrukture elektroničke pošte na Synology NAS uređajima.
Ranjivosti, identificirane pod službenim oznakama CVE-2026-13136, CVE-2026-13135 i CVE-2025-15660, potencijalno omogućuju udaljenim napadačima čitanje i pisanje proizvoljnih datoteka.
Zatim, mogu omogućiti pristup internim servisima te provođenje napada uskraćivanja usluge (Denial-of-Service).
Sigurnosno savjetovanje objavljeno je pod oznakom Synology-SA-26:11, a zakrpa je odmah dostupna putem Paketnog centra.
Osim tehnički vještih korisnika koji posjeduju Synology NAS i žele pokretati vlastiti poslužitelj elektroničke pošte, MailPlus Server koriste i male i srednje tvrtke koje žele samostalno hostati e-poštu na vlastitom hardveru.
Bilo iz razloga privatnosti, kontrole troškova ili usklađenosti s regulativom. Sve su to razlozi zašto ova ranjivost pogađa širok spektar korisnika, od privatnih entuzijasta do poslovnih organizacija.
Ako upravljate Synology NAS sustavom s aktivnim MailPlus Serverom, prestanite s čitanjem i ažurirajte odmah! Detalje o postupku nadogradnje pronaći ćete u nastavku ovog članka.
Što je otkriveno i zašto je opasno
Sigurnosno savjetovanje Synology-SA-26:11 obuhvaća tri odvojene ranjivosti.
Svaka od njih predstavlja specifičan vektor napada, a u kombinaciji stvaraju opasan lanac prijetnji koji može rezultirati potpunim kompromitiranjem sustava.
1. CVE-2026-13136
Ova ranjivost obuhvaća neovlašteno čitanje i pisanje datoteka te uskraćivanje usluge.
CVE-2026-13136, koja proizlazi iz neispravnih provjera autorizacije, može omogućiti udaljenim napadačima čitanje ili pisanje proizvoljnih datoteka te provođenje napada uskraćivanjem usluge (DoS).
Radi se najkritičnijoj ranjivosti od sve tri. Naime, napadaču potencijalno omogućuje manipulaciju datotekama na pogođenom sustavu, uključujući konfiguraciju servisa, poštanske sandučiće korisnika i druge osjetljive podatke pohranjene na uređaju NAS.
Problem leži u neispravnim provjerama autorizacije (faulty authorization checks.
Dakle, sustav ne provjerava ispravno ima li korisnik ili proces zapravo pravo pristupa određenim resursima.

Napadač koji iskoristi ovu ranjivost može ne samo čitati povjerljive informacije, nego i modificirati datoteke, što otvara put za daljnju kompromitaciju sustava ili uništavanje podataka.
DoS komponenta ranjivosti dodatno znači da napadač može potpuno onesposobiti e-mail servis, uzrokujući prekid poslovne komunikacije.
2. CVE-2026-13135: Pristup servisima
CVE-2026-13135 (ZDI-CAN-28485) omogućuje udaljenim napadačima pristup internim servisima. Ova ranjivost nastaje zbog nepravilnog ograničavanja komunikacijskog kanala na predviđene krajnje točke.
Dakle, napadač može zaobići namijenjene komunikacijske granice MailPlus Servera i pristupiti internim servisima koji nikada nisu trebali biti dostupni izvana.
Ova ranjivost je posebno opasna u kombinaciji s CVE-2026-13136 jer napadaču koji stekne pristup internim servisima otvara dodatne mogućnosti za eskalaciju napada, bočno kretanje unutar mreže i pristup drugim komponentama Synology DSM sustava.
Oznaka ZDI-CAN-28485 ukazuje da je ranjivost otkrivena kroz program Trend Micro Zero Day Initiative (ZDI, koji koordinira odgovorno otkrivanje ranjivosti između sigurnosnih istraživača i proizvođača softvera.
3. CVE-2025-15660: Pseudoslučajni brojevi
CVE-2025-15660, nastala korištenjem kriptografski slabog generatora pseudoslučajnih brojeva, može omogućiti napadačima u susjednoj mreži čitanje ili pisanje proizvoljnih datoteka te provođenje DoS napada.
Ova ranjivost, identificirana i pod oznakom ZDI-CAN-28554, razlikuje se od prethodne dvije po tome što zahtijeva da napadač bude u susjednoj mreži (adjacent network), a ne nužno na udaljenom internetu.
Međutim, u scenarijima gdje se NAS uređaj nalazi u dijeljenom mrežnom okruženju
(poput uredskih mreža, kolokacijskih centara ili oblačnih okruženja) ova ranjivost i dalje predstavlja ozbiljan rizik.
Kriptografski slab generator pseudoslučajnih brojeva (PRNG) znači da se sigurnosni tokeni, ključevi sesija ili drugi kriptografski elementi generiraju na predvidiv način, što napadaču omogućuje da ih reproducira ili pogodi, čime zaobilazi sigurnosne mehanizme koji se oslanjaju na nepredvidivost tih vrijednosti.

Vektori napada i kontekst prijetnji
Poslužitelji elektroničke pošte često su mete zlonamjernih napada zbog svoje stalne komunikacije putem mreža.
Stoga je normalno da vaš MailPlus Server održava različite sigurnosne zapisnike radi zaštite. Primarni vektor napada uključuje slanje posebno oblikovanih mrežnih zahtjeva prema MailPlus Server servisu.
Budući da su poslužitelji elektroničke pošte po svojoj prirodi izloženi prema internetu (portovi 25, 143, 587, 993), napadna površina je značajna.
Skener Bitsightov Groma Explorer “vidi” više od 2.100 MailPlus Server instalacija izloženih prema internetu, pretežno u Njemačkoj, Aziji (Koreja, Kina, Tajvan) i SAD-u.
Ova statistika pokazuje da postoji značajan broj potencijalno ranjivih sustava dostupnih putem interneta, što ih čini primamljivom metom za automatizirane napade.
Detalji o ranjivostima još uvijek se drže u tajnosti. Synology slijedi svoju standardnu praksu da ne objavljuje tehničke pojedinosti dok korisnici ne stignu primijeniti zakrpe, što je u skladu s načelima odgovornog otkrivanja ranjivosti.
Pogođeni proizvodi i verzije

Korisnici koji pokreću MailPlus Server na NAS uređajima s DiskStation Managerom v7.3, 7.2.2 ili 7.2.1 trebaju nadograditi na nedavno objavljenu verziju 4.0.1-31663 softvera, budući da ne postoji dostupna mitigacija za popravljene probleme.
Pregled pogođenih i zakrpanih verzija:
- Platforma DSM 7.3: Sve verzije MailPlus Servera starije od 4.0.1-31663 su pogođene. Potrebno je ažurirati na verziju 4.0.1-31663 ili noviju.
- Platforma DSM 7.2.2: Sve verzije MailPlus Servera starije od 4.0.1-31663 su pogođene. Potrebno je ažurirati na verziju 4.0.1-31663 ili noviju.
- Platforma DSM 7.2.1: Sve verzije MailPlus Servera starije od 4.0.1-31663 su pogođene. Potrebno je ažurirati na verziju 4.0.1-31663 ili noviju.
Koji NAS modeli su pogođeni
Ranjivost utječe na sve Synology NAS modele koji podržavaju pokretanje MailPlus Servera na navedenim DSM verzijama, uključujući:
- Seriju DS (DiskStation): DS723+, DS923+, DS1522+, DS1823xs+, DS925+ i druge modele koji podržavaju DSM 7.2.1, 7.2.2 ili 7.3
- Seriju RS (RackStation): RS822+, RS1221+, RS2423+ i kompatibilne modele
- Seriju SA (Enterprise): SA3410, SA3610 i druge poslovne modele
- Seriju HD (High-Density): HD6500 i kompatibilne modele
Moramo napomenuti da ranjivost nije vezana za specifičan hardver, već za softversku komponentu MailPlus Servera. Svaki NAS uređaj koji pokreće pogođenu verziju MailPlus Servera zahtijeva hitnu nadogradnju.
Informacije o sigurnosnoj zakrpi i postupak ažuriranja
Detalji zakrpe
Synology je objavio sigurnosno ažuriranje za Synology MailPlus Server paket u DSM-u kako bi adresirao višestruke ranjivosti.
Zakrpe su dostupne putem službenog Paketnog centra (Package Center) od trenutka objave sigurnosnog savjetovanja, a adresiraju sve tri identificirane ranjivosti u jednom ažuriranju.
Ne postoji dostupna mitigacija za popravljene probleme, što znači da je jedini način zaštite primjena zakrpe i nema privremenog zaobilaznog rješenja.
Korak-po-korak upute za ažuriranje
Slijedite ove korake kako biste primijenili sigurnosnu zakrpu na svoj Synology NAS:
1. Prijavite se u DSM sučelje. Otvorite web preglednik i pristupite svom Synology NAS-u putem lokalne IP adrese ili QuickConnect adrese. Prijavite se s administratorskim korisničkim imenom i lozinkom.
2. Otvorite Paketni centar (Package Center). Na radnoj površini DSM-a kliknite ikonu Paketnog centra ili ga pronađite putem glavnog izbornika.
3. Provjerite dostupnost ažuriranja. Kliknite na karticu “Ažuriranje” (Update) u lijevom navigacijskom panelu. Sustav će automatski provjeriti dostupna ažuriranja za sve instalirane pakete.
4. Ažurirajte MailPlus Server. Pronađite MailPlus Server na popisu dostupnih ažuriranja. Kliknite gumb “Ažuriraj” pored naziva paketa. Pričekajte da se preuzimanje i instalacija dovrše.
5. Potvrdite uspješnu instalaciju. Nakon završetka ažuriranja otvorite Paketni centar, pronađite MailPlus Server i provjerite prikazani broj verzije. Trebao bi glasiti 4.0.1-31663 ili noviji.
6. Ponovno pokrenite servis. Iako bi se MailPlus Server trebao automatski ponovno pokrenuti nakon ažuriranja, preporučuje se ručno ponovno pokretanje servisa kako biste bili sigurni da se sve promjene pravilno primjenjuju.
Službeno Synology sigurnosno savjetovanje
Sve detalje možete pronaći na službenoj Synology stranici za sigurnosna savjetovanja: https://www.synology.com/security/advisory.
Kako bi zaštitio korisnike, Synology ne objavljuje javno sigurnosne ranjivosti dok popravci nisu javno dostupni, niti se objavljuju točni detalji takvih ranjivosti.
Synology NAS uređaji na meti napadača
Ova najnovija sigurnosna zakrpa za MailPlus Server dolazi u kontekstu intenzivnog razdoblja sigurnosnih izazova za Synology i cijelu NAS industriju.
Širi korisnici moraju razumjeti kontekst da bi shvatili zašto je brza reakcija na sigurnosne zakrpe apsolutno kritična.
Niz ranjivosti u 2025. i 2026. godini
Synology se tijekom proteklih mjeseci suočio s nizom ozbiljnih sigurnosnih ranjivosti.
U ožujku 2026. otkrivena je ranjivost CVE-2026-32746, s CVSS ocjenom 9.8, koja je kategorizirana kao kritična prijetnja.
Synology je izdao hitno sigurnosno ažuriranje za rješavanje kritične ranjivosti u svom DiskStation Manager (DSM) softveru koja je mogla omogućiti neautenticiranim udaljenim napadačima izvršavanje proizvoljnih naredbi na pogođenim NAS uređajima.
Ranije, u travnju 2025., otkrivena je ranjivost CVE-2025-1021, ocijenjena kao “Important”, koja je utjecala na više DSM verzija i potaknula hitna izdavanja zakrpi.
Ranjivost je proizlazila iz nedostajuće provjere autorizacije u synocopy komponenti DSM-a, specifično utječući na NFS servise s mogućnošću pisanja.
Ova mana je omogućila neautenticiranim udaljenim napadačima čitanje proizvoljnih datoteka na pogođenim Synology NAS uređajima bez potrebe za interakcijom korisnika ili vjerodajnicama.
Pwn2Own natjecanje i NAS sigurnost
Pwn2Own Ireland 2025 pokazao je kritičnu ulogu etičkih hakera u ojačavanju modernih NAS ekosustava.
Na tom prestižnom natjecanju u hakingu, Synology uređaji pokazali su mješavinu jedinstvenih zero-day ranjivosti, poznatih ali nezakrpanih mana i exploita izvan opsega-
Time pokrivaju više kategorija proizvoda od kućnih usmjerivača i NAS jedinica do nadzornih uređaja.
Softverska ranjivost koja je zatvorena otkrivena je od strane sudionika Pwn2Own natjecanja u hakingu.
Već početkom studenog, Synology programeri zatvorili su “kritičnu” ranjivost (CVE-2025-12686) u BeeStationu pronađenu tijekom natjecanja.
Zanimljivo je da dvije od tri ranjivosti u aktualnom MailPlus Server savjetovanju (CVE-2026-13135 i CVE-2025-15660) nose ZDI oznake, što ukazuje da su otkrivene kroz Trend Micro Zero Day Initiative program. Taj isti program koji koordinira Pwn2Own natjecanja.
NAS uređaji kao mete ransomwarea
NAS uređaji ostaju visoko vrijedne mete za operatore ransomwarea i grupe za iznudu podataka.
Budući da ti sustavi često pohranjuju osjetljive korporativne podatke i kritične sigurnosne kopije, svaka ranjivost udaljenog izvršavanja naredbi predstavlja značajan rizik za poslovanje.
Povijesno gledano, Synology NAS uređaji bili su mete različitih ransomware kampanja.
Otkriven je novi soj eCh0raix ransomwarea koji cilja QNAP i Synology NAS uređaje.
U prethodnim valovima napada, napadači su pokušavali prijaviti se koristeći slabe ili uobičajene vjerodajnice. Jednom kada uđu, postavljaju zlonamjerne pakete, poput ransomwarea.
Ove povijesne kampanje jasno pokazuju da su NAS uređaji primamljive mete za kibernetičke kriminalce, što dodatno naglašava važnost pravovremene primjene sigurnosnih zakrpi poput one za MailPlus Server.
Tko je najugroženiji
Korisnici s najvišim rizikom
Najugroženiji su oni korisnici čiji MailPlus Server izravno prima elektroničku poštu s interneta, odnosno čiji su SMTP, IMAP ili POP3 portovi otvoreni prema vanjskoj mreži. To posebno uključuje:
Male i srednje tvrtke koje koriste Synology NAS kao primarni poslužitelj elektroničke pošte. MailPlus Server koriste male i srednje tvrtke koje žele samostalno hostati e-poštu na vlastitom hardveru.
Razlog može biti privatnost, kontrola troškova ili usklađenost s regulativom.
U problemu su i tvrtke bez vatrozida aplikacijske razine ispred NAS uređaja, koje se oslanjaju isključivo na ugrađene sigurnosne mehanizme DSM-a.
Ovdje ubrajamo i korisnike koji koriste port forwarding za pristup MailPlus Serveru izvan lokalne mreže, čime izlažu servis izravno prema internetu.
S obzirom na više od 2.100 internetski izloženih MailPlus Server instalacija diljem svijeta, potencijalna površina napada je značajna.
Bitsight
Dokazi o aktivnom iskorištavanju
Do trenutka objave ovog članka Synology nije javno potvrdio postojanje aktivnih napada koji iskorištavaju ove ranjivosti u stvarnom okruženju.
Međutim, s obzirom na to da su ranjivosti sada javno poznate i da ne postoji alternativna mitigacija, postoji visoka vjerojatnost da će napadači pokušati razviti i iskoristiti exploit u vrlo kratkom vremenskom roku.
Svaki dan odgode s primjenom zakrpe dramatično povećava rizik od kompromitiranja sustava.
Posljedice neprimjenjivanja zakrpe
Obavezno koristite zakrpe. Naime, neprimjenjivanje sigurnosne zakrpe može rezultirati potpunim kompromitiranjem NAS uređaja, krađom povjerljivih podataka pohranjenih na uređaju, zlouporabom poslužitelja elektroničke pošte za slanje neželjene pošte ili phishing kampanja te potencijalnim kršenjem regulatornih zahtjeva poput GDPR-a.
Budući da MailPlus Server pohranjuje poslovnu korespondenciju, kompromitacija može rezultirati i curenjem povjerljivih ugovornih, financijskih i osobnih podataka.
Dodatne sigurnosne preporuke
Osim hitne primjene sigurnosne zakrpe, korisnicima preporučujemo sljedeće mjere za dodatno ojačavanje sigurnosti sustava.
Mrežna segmentacija i pristup
Predlažemo sljedeće radnje:
- Ograničite pristup MailPlus Serveru samo na nužne mrežne adrese i portove.
- Postavite vatrozid ispred NAS uređaja koji filtrira promet na aplikacijskoj razini.
- Izbjegavajte izravno izlaganje NAS uređaja prema internetu bez VPN-a ili obrnutog proxy poslužitelja.
- Koristite obrnuti proxy s osnovnim pravilima filtriranja, ili mrežni WAF uređaj ako je dostupan, za blokiranje očitih obrazaca napada.
Praćenje i detekcija
Pročitajte naše prijedloge:
- Pregledajte zapisnike (logove) MailPlus Servera za neuobičajenu aktivnost, neovlaštene pokušaje prijave ili sumnjive mrežne zahtjeve.
- Omogućite obavijesti u DSM-u za neovlaštene pokušaje pristupa.
- Koristite Synology Security Advisor za automatsku procjenu sigurnosne konfiguracije vašeg NAS-a.
- Pratite uređaje pomoću zapisnika i detekcije anomalija, te postavljajte upozorenja za neobične obrasce prijave, velike prijenose podataka ili neočekivane odlazne veze.
Opće ojačavanje Synology NAS sustava
Synology je pružio savjete specifične za njihove uređaje:
- Koristite složenu i jaku lozinku te primijenite pravila snage lozinke za sve korisnike.
- Stvorite novi račun u grupi administratora i onemogućite zadani “admin” račun.
- Omogućite automatsko blokiranje u Upravljačkoj ploči za blokiranje IP adresa s previše neuspjelih pokušaja prijave.
- Pokrenite Security Advisor kako biste se uvjerili da u sustavu nema slabih lozinki.
Dodatno, omogućite dvofaktorsku autentifikaciju (2FA) za sve administratorske račune.
- Redovito ažurirajte DSM i sve instalirane pakete na najnovije dostupne verzije. Redovito izrađujte sigurnosne kopije konfiguracije sustava i kritičnih podataka koristeći Hyper Backup ili sličan alat.
Synology smatra sigurnost svojih proizvoda i usluga najvišim prioritetom.
Posvećeni su aktivnom praćenju, identificiranju i rješavanju sigurnosnih ranjivosti te pružanju kritičnih i važnih sigurnosnih ažuriranja.
Kako MailPlus Server štiti e-poštu
Synology MailPlus Server omogućuje pokretanje i upravljanje privatno posjedovanim servisom elektroničke pošte na Synology NAS-u.
Podržava infrastrukturu visoke dostupnosti za pružanje failovera, omogućujući maksimalnu uptime usluge kada se dogode katastrofe.
S MailPlus Serverom možete pratiti opći promet elektroničke pošte i upravljati uparenim poslužiteljima pošte, upravljati općim postavkama sustava od aliasa do protokola za isporuku pošte (npr. SMTP).
Zatim, migrirati e-poštu i uvoziti konfiguracije sustava s drugog poslužitelja pošte te zaštititi sustav pošte antivirusom, anti-spamom, SPF, DKIM, DMARC i drugim sigurnosnim mehanizmima.
Upravo zbog toga što MailPlus Server rukuje svim tim osjetljivim komponentama svaka ranjivost u ovom paketu ima potencijalno dalekosežne posljedice.
Kompromitiran MailPlus Server ne znači samo gubitak e-pošte; to znači pristup cijeloj komunikacijskoj infrastrukturi organizacije.
Djelujte odmah
Ranjivosti otkrivene u Synology MailPlus Serveru pod savjetovanjem Synology-SA-26:11 predstavljaju ozbiljan sigurnosni rizik koji zahtijeva trenutačnu reakciju.
Činjenica da ne postoji alternativna mitigacija osim primjene zakrpe čini situaciju još hitnijom. Nemojte čekati!
Otvorite Paketni centar na svom Synology NAS uređaju, ažurirajte MailPlus Server na verziju 4.0.1-31663 ili noviju i provjerite da je ažuriranje uspješno instalirano.
Vaša sigurnost ovisi o brzini vaše reakcije!


