Au début de l'année, une faille de sécurité sur le DSM 4.3 des NAS Synology avait été découverte, et rapidement colmatée. Mais les choses ne seraient finalement pas aussi simples et la dernière mise à jour 4.3-3810 Update 4 ne suffit pas toujours. Explications.
Début janvier, le National Institute of Standards and Technology (NIST) publiait un bulletin de sécurité indiquant que les NAS Synology fonctionnant avec le DSM 4.3-3810 Update 3 étaient à la merci d'une faille de sécurité sur le Windows File Service (SMB). Elle permettait d'écrire, de modifier et de supprimer des fichiers à distance. Des pirates l'avaient alors exploitée afin de leur faire miner des Bitcoins, entre autres choses. Synology avait mis en place le DSM 4.3-3810 Update 4 afin de corriger ce problème, mais tout n'est pas si simple pour ceux qui étaient déjà touchés.
En effet, sur le forum du fabricant, plusieurs utilisateurs signalent un comportement étrange de leur NAS, même après l'avoir mis à jour. Dans certains cas, des processus (situés dans /PWNED) continueraient d'utiliser massivement le processeur mais sans forcément apparaître dans le moniteur de ressource. Notez au passage que ce dernier fonctionnerait parfois de manière étrange (reboot, arrêt, etc.). De plus, de nombreuses commandes Linux auraient disparu en cours de route : « ps », « top », « rm » et « ls » seraient introuvables par exemple.
Après avoir interrogé le support technique, un utilisateur répondant au pseudo de Gozem aurait obtenu une réponse de la part de Synology : « Nos développeurs confirment que cette faille a été corrigée lors de la précédente mise à jour critique. Votre Disk Station a été piraté avant cette mise à jour critique et cela continuera tant que vous ne réinstallez pas le DSM. Vous devrez réaliser un hard reset afin de réinstaller le DSM via l'Assistant Synology, et s'il vous plaît mettez-vous ensuite à jour vers la dernière version du DSM ».
Le constructeur détaille ici la démarche à suivre pour réaliser un hard reset. Notez que cela n'efface normalement pas les données présentes sur vos périphériques de stockage. De notre côté, nous avons évidemment contacté Synology pour avoir plus de précisions. De votre côté, n'hésitez pas à nous faire part de vos retours si vous êtes dans une de ces situations.
Merci Laurent ;)
Commentaires (61)
#1
Bloqué en DSM 4.0 (DS408), je ne suis pas INpacté.
" />
#2
les NAS Synology fonctionnant avec le DSM 4.3-3810 Update 3 étaient à la merci d’une faille de sécurité sur le Windows File Service (SMB). Elle permettait d’écrire, de modifier et de supprimer des fichiers à distance.
A faire : bloquer les ports du protocole SMB sur ma box en rentrant du boulot.
#3
#4
Pas etonnant, si le NAS est rootkité, c’est fini… il faut reinstaller completement.
La correctif a probablement bien colmaté la faille mais le rootkit en a ouvert beaucoup d’autres.
#5
Euh, par défaut le SMB n’est pas ouvert si l’IP “externe” de la box, si ?
#6
#7
#8
#9
#10
C’est quoi le problème avec le DMZ ? c’est ce que j’ai fait vers mon NAS, tellement de port a ouvrir sinon qu’il y en a pour 2 heurs, (quand on arrive a trouver les bon port a rediriger…).
#11
tu mets simplement a jour en update 4
#12
Heureusement pour moi j’ai pas été toucher sur mon NAS, que j’avais mit à jour lors de votre première news. Après cela me semble normal, Syno bouche la faille, ils sont pas sensé corriger aussi les dégâts que cela a pu provoquer (enfin si en quelques sortes, mais ya tellement de cas différent…).
Le soucis après c’est que je n’ai aucune idée sur la diffusion de cette faille, je suis sur qu’il y a encore pas mal de NAS avec cette faille car non mit à jour…
Moi j’ai simplifier les choses, aucun accès extérieur, bloquer par ma box + pare feu, et je suis tranquille. Juste configurer un FTP au cas où, que je peux rapidement rendre accessible. Le reste du temps ça passe par un serveur dédié qui peut bien crash car je n’ai aucune donnée importante la dessus.
Pour ma part ça n’entache pas la qualité des NAS Syno, qui reste pour moi une référence en terme de qualité/ergonomie.
#13
#14
#15
#16
Pourquoi as tu activé l’expiration des blocages ? Pour leur laisser 4 autres chances ?
" />
#17
#18
#19
#20
#21
#22
Moi j’ai ma box avec 2 ports ouverts (le https syno donc 5001, et openvpn donc 1194), le pare-feux du syno fait de même vers l’exterieur, et est même restreint aux deux IPs (fixes) à même de monter un VPN avec lui.
Ca a du me prendre 10 minutes à configurer.
La liste de blocage auto est vide depuis 3 ans…
#23
#24
#25
Perso … tout est derrière un firewall pfSense
Les services (y compris autre que Synology) sont accessibles uniquement via un reverse proxy :)
Il y a très peu de ports ouverts
C’est ce qu’il y a de plus secure à faire. Apres encore plus secure, c’est aucun accès internet au Syno. Que de l’interne !
#26
#27
#28
#29
#30
#31
#32
#33
Plus on va vouloir d’applis user friendly (ménagère de + de 50ans compatible) dans nos NAS et plus le problème sera récurrent .
" />
#34
#35
Et les gas il y a pas un package OpenVPN dans votre DSM? niveau sécurité ça serait quand même beaucoup mieux….
Le lien pour les fainéant :
http://www.synology.com/fr-fr/support/tutorials/459
http://www.synology.com/fr-fr/support/tutorials/592
#36
#37
#38
Petite question toute bête :
Comment fait-on pour savoir si on a été infecté sur le NAS …
J’ai bien fais les maj du DSM mais si je comprend bien on peut être infecté encore là ?
#39
#40
#41
#42
#43
#44
#45
#46
#47
Sinon, comme j’ai pas mal d’utilisateur de syno dans le coin, question :
Perso tout est fermé sauf le port 5001 pour un accès en https sur le syno (je l’utilise, donc c’est ouvert), les ports en SMTP et IMAPS pour le serveur mail. Je pense pas avoir de problèmes d’intrusion mais j’ai une 40aine d’IP bloqué chaque jour depuis 3-4 jours (blocage infini si 5 mauvais mot de passe en 3 minutes, suffit pour bloquer les bots), j’en avais eu aussi peu avant la découverte de la faille. Des infos la dessus ?
ça me traumatise pas plus que ça, 4 mdp testé toute les 5 minutes, j’ai de la marge avant qu’il trouve sachant que la session admin est désactivé et vu le gueule de mdp mais c’est relou d’avoir sa boite mail surchargé par les avertissements (que je préfère garder en cas de problème).
#48
hello,
c’est moi qui ait envoyé l’info à la rédaction. les seuls ports ouverts chez moi étaient BitTorrent, le 5000 pour l’interface web, et le ssh sur un autre numéro que le 22.
La faille semble être soit sur l’interface web, soit sur des fichiers torrents vérolés …
pour se débarrasser du PB une maj du DSL doit résoudre les soucis mais il faut faire les manips signalées sur le forum syno pour être sûr.
#49
#50
Le DSM 5.0 arrive bientôt non ? Il ne règle pas le problème ?
#51
#52
#53
#54
#55
Debian POUAAAAAAAAAAAhhhhhhh !!!!
#56
#57
#58
#59
et merde, apparemment j’ai le souci, je sais ce que je vais faire ce soir
#60
#61