Synology NAS van buitenaf te benaderen? Pas dan goed op! Ransomware actief

[dennism]

Als je Synology van buitenaf te benaderen is, dan is het momenteel verstandig deze externe toegang tot nader bericht uit te zetten. Er komen veel meldingen binnen van Synology's die op afstand geencrypt worden waarbij de data gegijzeld wordt, bij betaling van ongeveer 260 euro in bitcoins zou de data weer vrijgegeven worden.

Het is voor zover ik heb kunnen uitzoeken de laatste paar minuten nog niet bekend of bijv. alle synology's vatbaar zijn hiervoor, of dat er een bug in oude firmware misbruikt wordt. Tot dit duidelijk is, is het extern toegang geven tot een synology een risico!.

Zie ook bijv. http://tweakers.net/nieuws/97631/ransomware-richt-zich-op-synology-opslagsystemen.html

[hayabusa]

Ik doe externe toegang alleen via de VPN optie, ik ga ervan uit dat dat veiliger is....

[Kjelt]

Als het een exploit van de firmware is (backdoor bv) zoals bij de Fritzbox onlangs dan zou ik deze optie inderdaad voorlopig even uitzetten totdat bekend is hoe ze het doen en er een firmware update is uitgekomen. Better safe then sorry.

[Kjelt]

Bericht van Synology: je moet upgraden naar DSM 5.0 of de patch voor 4.3 installeren.

http://nl.hardware.info/nieuws/40866/synology-geeft-statement-over-synolocker-ransomware

[WickedGame]

Bericht van Synology: je moet upgraden naar DSM 5.0 of de patch voor 4.3 installeren.

http://nl.hardware.info/nieuws/40866/synology-geeft-statement-over-synolocker-ransomware

Wat het bericht alleen niet vermeld, dat als je al besmet bent (maar nog niet actief is) de upgrade naar DSM5.0 geen oplossing gaat bieden. Het tweakers topic staat er in iedergeval vol mee. Beste op het ogenblik om te doen is de NAS te ontdoen van verbindingen van buitenaf (internet etc.) of de poorten zo strak af te stellen, incl een blokkade van ip's uit het buitenland. Het is nog steeds geen 100% dekking maar dit werkt voorlopig afdoende.

[pameijer]

Wat het bericht alleen niet vermeld, dat als je al besmet bent (maar nog niet actief is) de upgrade naar DSM5.0 geen oplossing gaat bieden. Het tweakers topic staat er in iedergeval vol mee. Beste op het ogenblik om te doen is de NAS te ontdoen van verbindingen van buitenaf (internet etc.) of de poorten zo strak af te stellen, incl een blokkade van ip's uit het buitenland. Het is nog steeds geen 100% dekking maar dit werkt voorlopig afdoende.

Ik heb alle instellingen van m'n Syno nagelopen maar kon niet specifiek verschillende instellingen vinden voor het internet en mijn interne netwerk. Voor zover ik weet is de enige manier om je Syno van het internet af te schermen, én binnenshuis nog wel te gebruiken, alle portforwards in je router/modem naar je NAS te verwijderen.

Mochten er nog instellingen op je NAS veranderd moeten worden dan hoor ik dat graag! Ik snap ook de firewall in de Syno niet geheel.

[WickedGame]

Ik heb alle instellingen van m'n Syno nagelopen maar kon niet specifiek verschillende instellingen vinden voor het internet en mijn interne netwerk. Voor zover ik weet is de enige manier om je Syno van het internet af te schermen, én binnenshuis nog wel te gebruiken, alle portforwards in je router/modem naar je NAS te verwijderen.

Mochten er nog instellingen op je NAS veranderd moeten worden dan hoor ik dat graag! Ik snap ook de firewall in de Syno niet geheel.

De tool EZ Internet op de NAS kan aan staan, die mag uit! Daarnaast ook de poorten van je nas staan open, in iedergeval poort 80, 5000, 5001 (bij https) en de rest weet ik niet zeker. Als deze poorten in je router dicht staan is dat geen issue. Maar er staat standaard wel wat open. Dit is bij instellingen te checken en dan LAN connectie oid. Zit op mijn werk dus kan nu niet checken

[modde239]

Als je Synology van buitenaf te benaderen is, dan is het momenteel verstandig deze externe toegang tot nader bericht uit te zetten. Er komen veel meldingen binnen van Synology's die op afstand geencrypt worden waarbij de data gegijzeld wordt, bij betaling van ongeveer 260 euro in bitcoins zou de data weer vrijgegeven worden.

Het is voor zover ik heb kunnen uitzoeken de laatste paar minuten nog niet bekend of bijv. alle synology's vatbaar zijn hiervoor, of dat er een bug in oude firmware misbruikt wordt. Tot dit duidelijk is, is het extern toegang geven tot een synology een risico!.

Zie ook bijv. http://tweakers.net/nieuws/97631/ransomware-richt-zich-op-synology-opslagsystemen.html

Misschien zit hier de oplossing....

http://www.bright.nl/ontsleutelen-bestanden-die-door-cryptolocker-zijn-gegijzeld

[WickedGame]

Misschien zit hier de oplossing....

http://www.bright.nl/ontsleutelen-bestanden-die-door-cryptolocker-zijn-gegijzeld

Nope dit gaat helaas niet werken, mits je uiteraard slachtoffer bent

[weust]

Dat verhaal over de poorten geld natuurlijk alleen maar voor de services die er gebruik van maken.
5000/5001 (http/https) voor management staat standaard natuurlijk aan. Waarbij 5001 alleen word gebruikt als je de NAS zo instelt dat alleen beveiligde connecties worden geaccepteerd.

80/443 alleen als je de standaard poorten van de webserver service gebruikt. 443 alleen als je https gebruikt, tenzij je een ander poort nummer gebruikt.
7000/7001 voor de FileStation service. Ook hier weer 7001 als je https aanzet.

Andere poorten weet ik zo niet uit mijn hoofd.
Maar ga nou niet alles in je firewall blocken/rejecten als je niet eens zeker weet wat je NAS aan services enabled heeft staan, en dus naar luistert.

Overigens is de bug eind december al verholpen, dus had iedereen al lang kunnen updaten.
Waarbij het sowieso verstandig is om de Notifications goed in te stellen dat je gemailed word door de NAS dat er updates beschikbaar zijn.

Het is allemaal niet zo moeilijk, maar je moet wel een idee hebben waar je mee bezig bent.

[pameijer]

Het is allemaal niet zo moeilijk, maar je moet wel een idee hebben waar je mee bezig bent.

Tsja, en de meeste mensen hebben geen idee, dusss. Dat kun je ze niet kwalijk nemen, en Synology staat juist bekend als fabrikant van makkelijk te beheren apparaten. Updates zouden eigenlijk gepusht moeten worden, en in je eigen netwerk, met SNMP of zo, een melding dat je je Syno moet herstarten. Dat doen de grote OS-en ook al allemaal, als je ze juist hebt ingesteld.

Ik draai zelf nog een 4.2 versie van DSM, maar updaten vergt ook veel meer tijd op een HP N54L met XPenology  .

[weust]

Makkelijk te beheren betekend niet dat je niet verder hoeft te kijken dan je neus lang is.

Er is al een optie om een update automatisch te laten downloaden.
En als je de notificaties dan goed configureert krijg je een melding dat er een update klaar staat om geïnstalleerd te worden.

Automatisch installeren klinkt leuk, maar dan wel als optie.
Stel dat je een NAS gebruikt als iSCSI target voor je hypervisor met tig VM's.
Dan wil je niet dat spontaan je NAS zich reboot om een update te installeren.
Met een SAN met een master/slave gaat dat nog wel goed, met een enkele NAS wat minder zeg maar.

En updates pushen met SNMP? Liever niet. Ik gebruik protocollen liever waar ze voor bedacht zijn ipv ze te misbruiken.
Grote OS'en gebruiken daar geen SNMP voor.

[dennism]

Tsja, en de meeste mensen hebben geen idee, dusss. Dat kun je ze niet kwalijk nemen, en Synology staat juist bekend als fabrikant van makkelijk te beheren apparaten. Updates zouden eigenlijk gepusht moeten worden, en in je eigen netwerk, met SNMP of zo, een melding dat je je Syno moet herstarten. Dat doen de grote OS-en ook al allemaal, als je ze juist hebt ingesteld.

Ik draai zelf nog een 4.2 versie van DSM, maar updaten vergt ook veel meer tijd op een HP N54L met XPenology  .

Wel grappig dat je verwacht dat mensen die geen idee van de apparatuur die ze gebruiken wel een SNMP trap receiver zouden draaien in hun netwerk. Daarnaast betekend makkelijk te beheren niet dat er geen beheer nodig is, alleen dat het makkelijk is, iets wat synology inderdaad is (je hebt geen commandline nodig, er is uitgebreide documentatie en de software zit redelijk helder in elkaar). Met een druk op knop start je de update. Daarnaast krijg je bij correcte configuratie iedere dag een mailtje van je Syno wanneer er een update klaar staat om geïnstalleerd te worden zie onderstaande quote. Het wordt dus gebruikers al enorm makkelijk gemaakt om constant up-to-date te zijn.

Automatische updates zijn leuk op client devices, maar op server apparatuur (wat een NAS gewoon is) wil je dit absoluut niet. D'r zal maar een fout zitten in een automatisch gepushte update waardoor je al je data kwijt bent...

Dear user,

A new version of DSM has been downloaded and is ready to install. Please sign into DS411+II and go to Control Panel > Update & Restore to install DSM 5.0-4493 update 3.

Sincerely,
Synology DiskStation

[Eddye]

Persbericht van Synology:

http://www.synology.com/nl-nl/company/news/article/472?utm_source=Wifimedia&utm_campaign=18608e2f96-Nieuwsletter_57_12_2013&utm_medium=email&utm_term=0_4365f6219d-18608e2f96-86412705

[Joske007]

Ik doe externe toegang alleen via de VPN optie, ik ga ervan uit dat dat veiliger is....

Uit veiligheid, doe ik het extern benaderen van de Nas ook enkel een allen via VPN, alle overige poorten staan dan ook dicht!!

[Isflicka]

Het lijkt erop dat ze nog steeds bezig zijn. Vorige week wat vreemde activiteiten gezien op een oude DS-207+ en bij een vriend is de bewakingssynology encrypt 

[dennism]

Het lijkt erop dat ze nog steeds bezig zijn. Vorige week wat vreemde activiteiten gezien op een oude DS-207+ en bij een vriend is de bewakingssynology encrypt 

Verstandig ook om een belangrijk component van je beveiligingsinfrastructuur open en bloot aan het internet te hangen zonder VPN ervoor, als er iemand wil dat er iets niet gefilmd wordt hoeven ze alleen de syno maar plat te DDOSén