image

Synology NAS-boxen versleuteld via 7 maanden oud lek

dinsdag 5 augustus 2014, 15:27 door Redactie, 4 reacties

De SynLocker-ransomware die bestanden op Synology NAS-boxen versleutelt blijkt een 7 maanden oud lek te gebruiken dat in december 2013 door Synology werd gepatcht. Dat heeft de fabrikant laten weten naar aanleiding van eigen onderzoek. Gisteren werd bekend dat er een nieuwe ransomware rondging.

De ransomware noemt zich SynLocker en versleutelt bestanden die zich op de NAS (Network Attached Storage) bevinden. Een NAS is een opslagapparaat dat via het netwerk te bereiken is en grote hoeveelheden bestanden kan bevatten. Getroffen gebruikers kregen een bericht dat ze 0,6 Bitcoin moesten betalen om weer toegang tot hun bestanden te krijgen, wat met de huidige wisselkoers 263 euro is.

Kwetsbare versies

Op het forum van Synology laat het bedrijf nu weten dat het probleem alleen oudere versies van het DSM-besturingssysteem raakt dat op de NAS draait. Het gaat om versie 4.3-3810 of eerder. Deze versies bevatten een kwetsbaarheid die vorig jaar december werd verholpen en waardoor een aanvaller toegang tot de NAS kan krijgen.

Gebruikers krijgen dan ook het advies te updaten naar een meer recente versie. In het geval van DSM 4.3 is dit DSM 4.3-3827 of nieuwer. Voor DSM 4.1 of 4.2 wordt DSM 4.2-3243 of nieuwer aangeraden en gebruikers van DSM 4.0 moeten naar DSM 4.0-2259 of nieuwer upgraden. Het probleem zou voor zover bekend niet spelen bij gebruikers van DSM 5.0.

Reacties (4)
05-08-2014, 15:33 door spatieman
mja, maar als je een NAS hebt die dsm 5 niet ondersteund, heb je alsnog een probleem.
05-08-2014, 15:43 door Anoniem
Door spatieman: mja, maar als je een NAS hebt die dsm 5 niet ondersteund, heb je alsnog een probleem.

Je hoeft niet naar DSM 5 als het niet kan. Of er word in ieder geval iets anders aangeraden dan DSM 5 voor deze NAS'en,
Ik denk dat Synology nog wel rekening gehouden heeft met de NAS'en die dat niet kunnen, zoals ook uit het artikel blijkt)zie quote hieronder)

[quote=Artikel]Gebruikers krijgen dan ook het advies te updaten naar een meer recente versie. In het geval van DSM 4.3 is dit DSM 4.3-3827 of nieuwer. Voor DSM 4.1 of 4.2 wordt DSM 4.2-3243 of nieuwer aangeraden en gebruikers van DSM 4.0 moeten naar DSM 4.0-2259 of nieuwer upgraden[/quote]
05-08-2014, 16:51 door Anoniem
Aangezien Synology stelt dat het om patches gaat uit december 2013, leid ik af uit http://www.synology.com/en-global/releaseNote/model/DS214+ dat het waarschijnlijk om de volgende kwetsbaarheden gaat:

(1) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6987 (zie http://www.exploit-db.com/exploits/30475/ voor een exploit). Toegang via DSM op poort 5000 (http) of 5001 (https).

(2) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6955 (zie http://www.rapid7.com/db/modules/exploit/linux/http/synology_dsm_sliceupload_exec_noauth voor een exploit). Ook hier toegang via DSM op poort 5000 (http) of 5001 (https).

Beide kwetsbaarheden zouden eerder ook gebruikt zijn door coin miners.

Hoewel mogelijk niet gebruikt door de SynoLocker aanvallers, is het belangrijk dat (als iets met SSL/TLS via internet bereikbaar is, naast https dus ook bijv. secure SMTP/IMAP/VPN etc) jouw NAS gepatched is voor Heartbleed (CVE-2014-0160), anders is de kans erg groot dat je wachtwoorden en andere vertrouwelijke gegevens lekt.
05-08-2014, 17:30 door Briolet - Bijgewerkt: 05-08-2014, 17:30
Er zijn inmiddels wel een paar spaarzame berichten dat ook nieuwere DSM versies besmet zijn. Synology schrijft hierover:

"So far, we have several DSM 5.0 cases diagnosed. They actually upgraded to DSM 5.0 RECENTLY after it was infected. We can tell that because we know when it's upgraded, and we know when the SynoLocker software was inserted into their system.

But still, it has chance that we missed some special issues in DSM 5.0. So please please strongly encouraged those DSM 5.0 users to send the ticket to our support."

Synology heeft al in februari aangegeven dat een opgelopen besmetting via het oude lek niet over gaat door het updaten. Om een besmetting te verwijderen moet het besturingssysteem opnieuw geïnstalleerd worden. Dit her-installeren kan zonder dataversies en de instructie staat op hun website. En volgens mij hebben ook alle geregistreerde gebruikers er indertijd een mailtje over gekregen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.