Les NAS Synology fonctionnant avec le Disk Station Manager (DSM) 4.3 ont récemment dû faire face à une faille de sécurité sur le Windows Files Service (SMB) avec des répercutions parfois insolites. En effet, des petits malins en ont profité pour installer à distance un programme afin de miner des Bitcoins.
Le bulletin du NIST
Alors que Synology se prépare à lancer la bêta du DSM 5.0, certains utilisateurs qui ont un NAS sous la version 4.3 ont fait les frais d'une faille de sécurité. En effet, le Windows File Service (SMB) de la mouture 4.3-3810 Update 3 permet à des personnes non autorisées d'écrire, de modifier et de supprimer des fichiers à distance. Une information confirmée par le National Institute of Standards and Technology (NIST), une organisation gouvernementale américaine, qui a d'ailleurs publié un bulletin à cette occasion.
De plus, si l'on en croit le forum du constructeur, des pirates en ont profité pour installer une application permettant de miner des Bitcoins, et ainsi récupérer au passage les sommes générées par ce travail. En effet, plusieurs clients indiquent une utilisation CPU anormalement élevée sur leur NAS (100 % en permanence), la cause étant le processus « Minerd » qui exploite toutes les ressources disponibles comme le montrent ces images :
Crédits : @Syluban
Cela ne semble concerner que le DSM 4.3 et pas les moutures précédentes, les NAS de la série DS-x09 sont donc épargnés puisqu'ils ne peuvent pas en profiter (DSM 4.2 maximum). Sachez par contre qu'une mise à jour vers le DSM 4.3-3810 Update 4 est d'ores et déjà disponible et qu'elle corrige justement ce problème. Elle améliore aussi la compatibilité avec Internet Explorer 11 et en profite pour supprimer quelques bugs au passage (voir les notes de versions).
Interrogé par nos soins sur ce problème, le fabricant nous précise que « concernant votre question DSM 4.3, les utilisateurs n’ont qu’à télécharger la mise à jour, via le panneau de configuration ». Celle-ci semble donc suffire à régler les soucis. Comme toujours, si vous êtes dans cette situation n'hésitez pas à nous faire part de vos retours via les commentaires.
Merci @Syluban ;)
Commentaires (60)
#1
ouch –’ la beauté d’avoir tout connecté… J’update de suite ..
#2
Les NAS Synology, bientôt le plus grand réseau de botnet :-)
Edit: Oups, on est pas Trolldi !
#3
#4
Hm vu la “puissance” des CPU dans ces NAS il faudrait en infecter des millions pour gagner quelques Bitcoins " />
(J’aime bien la pub pour les NAS Thecus à droite de la news " />)
#5
Juste a coté de l’article j’ai une Pub pour Thecus coïncidence ?
" />
#6
#7
#8
Mauvaise pub… est-ce que vous savez si syno a déjà été victime de spyware/malware via ce type de faille ? En général le pb se situe entre la chaise et le clavier pour ce genre de matos…
#9
#10
#11
#12
#13
J’en ai été victime sur un NAS sur les 3 que je gère. Un redémarrage suffisait à retirer le processus temporairement (il devait se loger dans un dossier temporaire probablement).
Un peu vexant de se faire piquer sa machine pour faire gagner de l’argent à un petit malin.
#14
“De plus, si l’on en croit le forum du constructeur…”
Nas Forum c’est non officiel il me semble ?
#15
Pour ceux qui en ont été victimes, le CPU était à 100% dans tous les cas ?
#16
#17
Pas touché pour ma part, mais MAJ en cours.
#18
#19
#20
Heu si je comprends bien c’est le CPU du PC relié au NAS qui était exploité, et non celui du NAS lui-même.
Donc tout de même un peu plus de puissance de calcul.
Peut-être aussi le hack permettait-il d’exploiter une éventuelle CG, donc là ça devient rentable sur le nombre.
#21
#22
#23
#24
Voilà, c’est la faute de l’actualité " />
#25
#26
#27
#28
tsss moi qui devait rénover mon DS508 qui commence a être bien plein et qui plafonne a 30Mo/Sec pour un DSxx14 je vais y regarder a 2x " />
#29
#30
la faille n’est utilisable que si SMB est accessible de l’extérieur ?
#31
#32
+1
Créer un compte administrateur, désactiver celui de base et changer les ports sont les premières choses que j’ai fait avant même de configurer les volumes " />
#33
Merci pour l’info, je suis passé en update 4 " />
#34
#35
#36
#37
dans le bulletin du NIST, ils disent :
Access Vector Network
Ce qui veut dire :
The vulnerability may be accessed from any network that can access the target system - typically the whole of the internet
Ok mais faut quand même des ports ouverts entre le NAS et internet non?
#38
#39
#40
#41
#42
#43
#44
#45
#46
#47
#48
#49
Ceci dit moi je maintenais à jour mon NAS, et je pense que c’est soit le changement de port (5001 et 5000) et/ou le passage en HTTPS qui a coupé la connexion. Car j’avais fait la màj quelques jours avant de voir mon CPU s’affoler.
Ce que j’ai fait en plus c’est de rebooter le NAS.
Vu qu’après les màj du système tu rebootes, ce n’est pas la màj qui a coupé la merde (elle évitera peut être de s’en prendre un autre), mais bien le changements des ports ou https.
En image on voit que j’ai récup la merde en début d’année, comme les gens sur les forums US :
http://i.imgur.com/B3y3ImE.png
#50
#51
You shall not pass !
Bon merci pour l’info, NAS updaté !
#52
#53
#54
#55
#56
#57
#58
#59
#60
Comme quoi sauf correction de faille critique ça ne sert à rien de se ruer tout de suite sur les dernières mises à jour, je suis à la bourre niveau update de mon Syno et du coup étant encore en 4.2.x je ne suis pas concerné par la faille " />
Selon le changelog le dernier 4.3 semblerait corriger le problème mais perso je vais laisser s’écouler quelques semaines avant de faire la mise à jour histoire de laisser les autres essuyer les plâtres, juste au cas où " />