LET OP: NAS HACK: Synolocker actief.

[Birdy]

Zie http://www.synology-forum.nl/synology-dsm-4-3/synolocker/msg119419/#msg119419

Mag aannemen dat dit voor ALLE versies van DSM geldt.

Zie ook: https://twitter.com/MikeEvangelist/status/495970097497128960

Synology is op de hoogte echter, voor zover ik het zie geven ze op dit moment alleen de oplossing om DSM opnieuw te installeren en geen oplossing wanneer het al te laat is.
Bron: http://forum.synology.com/enu/viewtopic.php?f=3&t=88716

[Heppieboeddah]

Vraag mij af of de normale ingebakken standaardbescherming van de NAS voldoende zekerheid geeft om dit te voorkomen. Vooralsnog lijkt mij het alsof het niet bekend is waar dit mee komt. Welke services lopen risico, welke poorten worden er aangevallen?


Vooralsnog vertrouw ik de beveiligingsinstellingen zoals ze nu staan, in afwachting van wat meerdere ervaringen.

[Babylonia]

Met zo weinig informatie is het vooralsnog koffiedik kijken, maar heb wel een idee in welke richting het gevaar zou kunnen zitten. Nadenkend zijn er typische services die mensen gebruiken die IMO enorm kwetsbaar zijn om als backdoor te kunnen worden ingezet. Bijv. als men de NAS gebruikt om torrents te downloaden (en daarmee te delen met anderen).

Meestal weet men bij download van torrents totaal niet wat voor data men in huis haalt. Ontzettend vaak besmet met virussen en andere rommel. Eenmaal een klein "hulpprogrammaatje" in huis (op je NAS) zou dat van buitenaf weer benaderd  kunnen worden, en van daaruit de NAS verder kunnen worden overgenomen.

[Hofstede]

Als je zoekt onder de slachtoffers zijn er veel die hun DSM-login via poort 5000 open hadden staan naar het internet. Snap niet waarom mensen dat doen, je kunt veel beter een VPN service opzetten daarvoor.

Er is onlangs nog een patch uitgebracht voor DSM 4.3 voor een kwetsbaarheid die met die login te maken had.
Het zou dus ook interessant zijn te weten welke DSM versie de slachtoffers draaien.

Maar is afwachten tot er meer details bekend zijn.

[Briolet]

Jammer dat niemand er bij vermeld onder welke DSM versie ze draaien. Het topic hier is in het 4.3 deel gezet. Ook in het internationale forum zag ik in de signatuur staan dat één van de slachtoffers dsm 4.3 draait.

Ik vind één maal de vermelding:

We have a small business and use a DS1513+ with DSM 4.3-3810. We could not open any files.

Dus hij draaide niet op de nieuwste versie. Er zijn hierna nog meerdere security patches uitgegeven. Zie release notes

De toegang zou dus kunnen gaan via het bekende lek dat vorig jaar bekend werd en Synology dit voorjaar gepatcht heeft.

[Briolet]

Na nog meer links gevolgd te hebben zie ik steeds DSM 4.3 terug komen:

I am on 4.3 with no updates

[Björn]

DSM 4.3 had toch ook last van de bitcoin mining hack doordat er een lek zat in de SMB versie of iets dergelijks die erin zat?

[Briolet]

Klopt, dat lek is eind 2013 ontdekt. Het heeft toen een paar maand geduurd voor er malware geschreven was die dit lek gebruikte. De bitcoin miner was de bekendste. (Het waren geen bitcoins maar een andere digitale valuta). Synology had ten tijde van de infecties al een update uitgevoerd, maar niet iedereen update zijn nas ogenblikkelijk. Als ik nu zie welke versies besmet zijn, denk ik dat het nog steeds om hetzelfde lek gaat.

Het probleem is dat je via een site als Shodan, alle Synology nassen in de wereld in één zoekopdracht kunt vinden. Vervolgens laat je een script lopen dat kijkt welke van deze adressen nog niet gepatcht zijn.

[blackgoku]

Ik heb net iemand gesproken die dit probleem ook heeft en draait DSM 5 versie 2.

[Babylonia]

Het probleem is dat je via een site als Shodan, alle Synology nassen in de wereld in één zoekopdracht kunt vinden. Vervolgens laat je een script lopen dat kijkt welke van deze adressen nog niet gepatcht zijn.

De door mij gebruikte NAS is er nog niet te vinden (voor zolang het duurt). Als aardigheid gebruik ik voor mijn webbrowser een plugin die een vlag toont die weergeeft waar het domein of IP-adres is gesitueerd.
https://addons.mozilla.org/nl/firefox/addon/flagfox/

Bij de plugin zitten echter nog meer direct bereikbare links naar websites en services die je kunt gebruiken om allerlei testen uit te voeren. Onder andere:
  • Diagnostiek als pings en traceroutes
  • Whois en DNS-informatie
  • Paginacoderingsvalidatie
    en nog veel meer.....

Sta versteld wat een test voor informatie oplevert.
Doe voor de aardigheid eens een test naar je eigen internet IP-adres waarachter je de NAS hebt staan.
(Bijv. middels de bij MyDS Center vastgelegde DDNS hostnaam. IP-adressen ingeven gaat niet):
https://www.ssllabs.com/ssltest/index.html
Wel een vinkje plaatsen bij:   "Do not show the results on the boards"

[Briolet]

Sta versteld wat een test voor informatie oplevert.

Er zijn gewoon belachelijk veel sites die IP verkeer loggen. Kijk ook maar eens op: http://myip.ms/ 

Het is in elk geval een illusie om te denken dat als je jouw IP niet op een website plaatst, jouw nas niet gevonden wordt.

[Babylonia]

Ik maak me geen illusies hoor. Ik had het er alleen over dat die bewuste website die je specifiek noemde de NAS nog niet in de zoekresultaten voorkwam voor zolang het duurt. De NAS is relatief nog maar kort in gebruik, dus dat die nog niet in hun database voorkomt is niet zo verwonderlijk. Niet elke seconde worden alle nieuw voorkomende NAS'sen in de wereld door hen gescand, daar gaat tijd overheen. Het kan morgen anders zijn.

Met de andere aanvullingen die ik gaf (waaronder een whois who IP) is het duidelijk dat informatie bekend is.
-

[ralphsensei]

Dag allen,

Bedankt allereerst voor alle reacties. Inmiddels is er ook respons van synology zelf om te kijken wat er aan te doen is.

Details over mijn synology:

DSM 4.3. Updates lukten niet (meer) omdat de partitie te klein was. (bekend probleem)
Poort 5000 stond inderdaad open, evenals de admin account. Helaas stond het blocken van IP's na verkeerde inlogpogingen uit.
De standaard antivirus stond er ook op, maar we hebben niet te maken met een virus.
 
Eigenlijk stond bijna alles default, omdat ik hem hoofdzakelijk gebruik voor SABnzb. Vandaar ook geen backup Maar zo zie je maar, gaandeweg ga je toch meerdere zaken erop zetten en voila.
Echt een ramp qua timing, want vlak voor de vakantie een flashdrive ernaar gekopieerd en leeggemaakt.

GEEN torrents, als laatste was Plex server geinstalleerd.

Mochten er specifieke vragen zijn, laat het me weten. Ik kan niet meer inloggen op de syno zelf, maar ik denk dat me dat vanavond gaat lukken mbv de tips van synology. Ik zal de voortgang hier blijven posten.

Gr,

Ralph

Nog steeds hou ik me aanbevolen voor decryptietips en trucs.

[Remy89]

Ik heb mijn NAS voor zolang het nodig is maar even uit gezet. Wil het risico niet lopen dat hij dadelijk ge encrypt word. Ook al heb ik poort 5000 gewijzigd, draai op de laatste versie, automatisch IP block aan en standaard admin account staat uit. Dit nieuws is nog vers en niemand weet er iets van. Synology kennende zijn ze snel met een oplossing.

[Babylonia]

Even een vraagje tussendoor m.b.t. poort 5000
Ik heb de NAS zodanig ingesteld dat er automatisch naar https poort 5001 wordt gegaan, kun je poort 5000 dan sluiten, of is die voor het allereerste contact van buitenaf als geen specifieke opgave van http of https in de browser wordt ingetikt, poort 5000 noodzakelijk?