Synology SynoLocker: Diese Versionen des DiskStation Managers sind betroffen

5. August 2014 Kategorie: Backup & Security, Hardware, geschrieben von: caschy

Seit gestern ist bekannt: Hacker nutzen Schwachstellen im DiskStation Manager des Synology NAS aus, um einen Schädling einzuschleusen, der alle Daten verschlüsselt. Betroffenen bleibt bisher nur der Gang auf eine zwielichtige Seite, über die sie eine Entschlüsselung kaufen können sollen. Synology gab mir per Mail gerade ein Statement aus, in der man die betroffenen Versionen benennt, die Meldung wird sich auch auf den Seiten der Firma finden lassen.

Synology_DS414slim

Betroffen sind demnach alle Versionen bis zu DSM 4.3-3810. Hierbei wird eine bereits im Dezember 2013 gepatchte Sicherheitslücke in alten Versionen ausgenutzt, nach jetzigen Erkenntnissen ist DSM 5.x nicht angreifbar. Folgenden Hinweis gibt Synology allen NAS-Besitzern mit auf den Weg:

Menschen, die DSM 4.3 einsetzen, sollen mindestens auf DSM 4.3-3827 aktualisieren, wer noch DSM 4.1 oder DSM 4.2 einsetzt, der soll auf DSM 4.2-3243 oder höher aktualisieren. Da es auch noch Nutzer von DSM 4.0 gibt, sollen diese zumindest auf DSM 4.0-2259 oder höher aktualisieren.

Nutzer, die eine Warnmeldung beim Betreten des DSM-Dashboard sehen, oder einen Prozess namens synosync im Ressourcenmonitor wahrnehmen, sollen ihr NAS direkt abschalten und sich an den Support werden, Synology arbeitet weiterhin an der Behebung des Problems, wir halten euch ebenfalls auf dem Laufenden.

Solltet ihr also Syno-Besitzer im Bekanntenkreis haben, die vielleicht selten aktualisieren – dann sagt denen Bescheid.



Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22143 Artikel geschrieben.

26 Kommentare

DancingBallmer 5. August 2014 um 14:35 Uhr

Vielen Dank für die Information. Da war die gestrige Twitter-Mitteilung eines offiziellen, von der jemand in den Beiträgen geschrieben hat, doch korrekt. Auch der Hinweis über Systemauffälligkeiten (Dashboard, laufender Prozess) finde ich sehr nützlich und interessant und wichtig. Das beruhigt.

BeetleTom 5. August 2014 um 14:41 Uhr

Danke für die zeitnahen Infos – im Gegensatz zur doch sehr trägen Herstellersupporttruppe. Dann kann ich meine beiden Synos wieder hochfahren 🙂

Neotrix 5. August 2014 um 14:52 Uhr

Aha, dann ist meine Diskstation mit DSM5 ja sicher.
Heise hatte den Beitrag noch nicht aktualisiert.

Im Forum stand gestern aber, das jemand mit der DSM5 auch das Synlocker Problem hat.
Hoffen wir mal, das es eine falsch Meldung war.

Zelda 5. August 2014 um 14:58 Uhr

Mich wundert ein wenig, das aber einige Screenshots mit DSM5 gezeigt wurde.

Btw. wie kann ich mich eigentlich gut absichern? Reicht es den DynDNS Dienst aus der Synology zu löschen und die Ports am Router zu schließen?

caschy 5. August 2014 um 15:00 Uhr

@Zelda: Schick mir mal so einen Screenshot

quorn23 5. August 2014 um 15:06 Uhr

Der einzige DSM5 Screenshot, den ich gesehen habe war von ifun und dieser deckt sich 0 mit dem Verhalten der effektiven Ransomware (es lassen sich einige Kisten finden, was richtig mies ist – die Txt mit der kompletten Dateiliste lässt sich von Aussen runterladen)
Evtl hat Caschy ja Draht zu den Ifun Leuten, denke da hat einer unbewusst kurz einen Screenshot geschustert, ohne sich im Klaren zu sein, dass jeder gleich in Panikmode verfällt.

FabianS. 5. August 2014 um 15:11 Uhr

@Caschy Ich hab dir ein Screenshot per Mail geschickt.
Auf der Webseite, auf der der Screenshot mit der DSM 5.0 zu sehen war, ist jetzt nurnoch der Screenshot des SynoLocker, ohne DSM 5.0 Hintergrund.

Wurde scheinbar editiert..

caschy 5. August 2014 um 15:13 Uhr

@FabianS: Habe dir eben gemailt. Anscheinend haben die Menschen dort eine Fotomontage benutzt, was im konkreten Fall natürlich extrem verwirrend ist.

caschy 5. August 2014 um 15:19 Uhr

@quorn: ich kenne einen der Autoren, habe da aber keine Lust auf Kontakt, weil man dort nur unter starken Schmerzen Quellen angibt.

Goran 5. August 2014 um 15:21 Uhr

„… was im konkreten Fall natürlich extrem verwirrend ist.“
milde ausgedrückt 😉

FabianS. 5. August 2014 um 15:31 Uhr

Hi,

also der Screenshot mit Version 5.0 ist Fake.
Den Countdown bekommt man nur auf der “persönlichen Tor-Seite” angezeigt.
Auf der Diskstation selbst bekommt man nur die Meldung, dass die Dateien verschlüsselt sind.

Ich hatte gerade auch Kontakt mit einem Kollegen bei Synology, laut Ihnen ist die Lücke in Version 5.0 nicht vorhanden, eine offizielle Aussage war das aber nicht, da noch interne Tests laufen.

Gruß Fabian

Troy 5. August 2014 um 15:38 Uhr

Das ganze wäre weniger schlimm, wenn ältere DSs nicht ohne Not von neueren Entwicklungen abgehängt werden. Über den Paketmanager könnten sie das eine oder andere Feature ausknipsen. So werden sie immer wieder Ärger mit den Altgeräten kriegen. Und nein, ich kaufe mir nicht alle paar Jahre eine neue NAS.

Namenlos, weil Cookies gelöscht... 5. August 2014 um 15:41 Uhr

@troy: aber es gibt doch Patches für olle DS Versionen, falls eklatante Lücken gefixt werden.

Oliver 5. August 2014 um 16:01 Uhr

@Troy: dann verwendest du vermutlich auch noch Windows XP? Ja, natürlich kann man auch die Software auf einem 8 Jahren alten NAS weiterhin pflegen. Wäre es Ok, wenn Synology dir einen Supportvertrag anbietet? Falls du noch auf DSM 4.1 bist z.B. für 150 EUR/Jahr? Für die vom SynoLocker betroffenen DSM 4.x-Versionen gibt es schon seit einigen Monaten Patches, die die ausgenutzte Lücke wohl beheben. Aber es gibt ja auch Leute, die stolz darauf sind, dass ihr NAS seit über 3 Jahren ohne Downtime durchläuft…

Troy 5. August 2014 um 16:05 Uhr

@Oliver: ich hoffe jetzt geht es dir besser.

Lux 5. August 2014 um 18:03 Uhr

Synology hat damals nie die Hintergründe zur Sicherheitslücke offegelegt, oder? Wir wissen also nicht, ob es ein Programmierfehler oder der Hack einer absichtlich eingebauten Hintertür war. Das schafft nicht gerade Vertrauen…

caschy 5. August 2014 um 18:27 Uhr

@Lux: bevor man ahnungslos spekuliert, hilft die Suche nach CVE-2013-6955 😉 http://www.securityfocus.com/archive/1/531602

Jens 5. August 2014 um 18:52 Uhr

Danke für die Info.

Was ich nicht verstehe ist wie man sich über die Supporttruppe aufregen kann. Das können doch nur Menschen machen die keinerlei Ahnung von dem ganzen haben?
Du musst am Ende erstmal indetifizieren was genau da passiert und dazu reicht es nicht einfach nur nen Honeypot aufzustellen. Du brauchst Betroffene die Dir als Hersteller helfen und nicht nur hysterisch rumkreischen. Dann musst Du das ganze wirklich gut analysieren. Wenn Du jetzt eine falsche Warung raus gibts sind auch wieder alle sauer. Ich kenne da auch meinem Geschäft. Umfeld Firmen da wirst Du davon gar nichts hören oder nur auf explizite Nachfrage.

Syno macht das IMHO nen guten Job und ich möchte da kein Supporter sein der gerade alle Ports abscannt und versucht das alles nachzustellen.

Lux 5. August 2014 um 21:46 Uhr

@Caschy: Danke für den Link, aber dort werden lediglich die Symptome und Lösungsvorschläge beschrieben. Das wussten wir schon. 😉

Meine Kritik bezog sich aber darauf, dass Synology die Ursache verschweigt, ob es ein Programmierfehler oder der Hack einer absichtlich eingebauten Hintertür war. Oder hab ich was verpasst?

caschy 5. August 2014 um 21:54 Uhr

@Lux: So kann man natürlich jedes Mal argumentieren. Jede Sicherheitslücke – JEDE – ist eine absichtlich eingebaute Hintertür….. Symptome stehen da nicht, sondern konkrete Informationen zum Exploit im CGI-Modul auf der Unix-Plattform.

Gabe 6. August 2014 um 02:04 Uhr

@DancingBallmer Sollte sich herrausstellen,dass es effektiv die gleiche Lücke ist, wie bei der Mininggeschichte hat Synology vor Ewigkeiten informiert, via diversen Kanälen. Wenn die Leute immernoch zu träge sind ihr System upzudaten, was wollen sie da noch gross kommunizeren? „Ja ihr Trottel solltet nun ECHT mal updaten“? Ich verstehe deine Kritik, Verbesserungspotential seitens Synology ist da, klar. Man muss halt auch bisschen relativieren, ein Shitstorm bricht aus, bei der momentanen Kenntnisse wegen Leuten mit Versionen mit -bekannten- Sicherheitslücken. Bevor hier vorschnell eine ungenaue Meldung rausgehauen wird darf das ganze auch mal anständig analysiert werden. Hätten sie voreilig was rausgehauen hätten alle gemeckert wie ungenau das Statement sei, warum keine Lösung da ist etc. Man wird nie alle zufriedenstellen können. Ich hatte den Zugriff auf meine Nas auch gekappt, auch wenn die Fakten gegen eine Gefahr für mich sprachen (keine Standart Ports, keine DSM5 dabei etc.). Klar macht so ein Vorfall nervös, aber man sollte die Hose auch locker halten imo. 😀

DancingBallmer 6. August 2014 um 10:35 Uhr

@ Gabe

Es ist halt wirklich eine schwere Entscheidung, was gebe ich wann und wie heraus. Ich wünsche mir bei solchen Themen eben eine schnellere Kommunikation auf den eigenen Seiten. Wenn man gesicherte Informationen per Mail herausgeben kann, sollte man diese bitte auch zeitnah auf den eigenen Seiten veröffentlichen. Keine Ahnung wie es mit twiter und facebook ausschaute, aber erste Anlaufstelle bei Problemen ist für mich immer noch die Herstellerseite und dann das Supportforum.

Wenn alte Sicherheitslücken so lange offen bleiben ist das auch so eine Sache, da hat Synology aber anscheinend mit DSM 5.0 schon nachgebessert. Die Leute sollten von der NAS per Mail über Updates informiert werden, falls notwendig auch wiederholt nach bestimmten Abständen. Kaum einer loggt sich als Admin regelmäßig in seine funktionierenden NAS ein. Bei meiner Diskstation mit 4.3.10.27 hatte ich vergeblich nach solch einer Funktion gesucht, unter DSM 5.0 soll das jetzt möglich sein. Bei solchen sicherheitsrelevanten Sachen kann man ruhig aggressiver sein, z.B. bei der Erstinstallation und in den Anleitungen explizit auf die Vorteile einer eMail-Benachrichtigung hinweisen. Wer es nicht braucht sollte es deaktivieren können, aber standardmäßig sollten solche Dinge viel öfter aktiviert sein. Da finde ich AVMs Weg mit den optionalen Autoupdates wirklich ncht schlecht, wobei ich das bei einer NAS dann doch problematischer sehe.

Bevor hier der falsche Eindruck entsteht ich würde Synology komplett verteufeln, es ist nicht alles schlecht und im Endeffekt hat man schnell eine Lösung präsentiert. Aber die Sucherei nach Informationen hatte mich schon bei den letzten Sicherheitsproblemen ziemlich genervt.

derWolle 7. August 2014 um 12:15 Uhr

Moin,

Hinweis für die Nutzer alter Systeme (hab noch eine DS207+ mit latest DSM3.1 als Replikations-Ziel im Einsatz:


Dear xxx,

according to our information, DSM 3.x is also not affected to SynoLock issue

Best Regards,

Synology Technical Support

Außerdem:


according to our developers, OpenSSL in DSM 3.x is not affected to HearBleed issue

Gruß derWolle

durain 9. August 2014 um 18:39 Uhr

hallo alle
da bin nu ganz einfach reingerasselt.
DS212, DSM 4.3, genauere Angaben aktuell nicht verfügbar da kein Zugriff auf die DS möglich ist, auch nicht per Assistent. Da wird immer sofort die Seite von dem Erpresser angezeigt.
Sämtliche Dateien sind verschlüsselt und unbrauchbar. Da alles aber noch als Backup vorhanden ist dürfte kein eigentlicher Schaden entstanden sein, mindestens was die Daten angeht.
Frage: kann die DS wiederhergestellt werden (leer und jungfräulich) oder soll man sie besser schrotten und eine neue beschaffen.
Habe mir schon überlegt die beiden Platten extern zu löschen (per Datenschredder) und formatieren. Die DS müsste ja dann die Platten auch wieder5 als „neu“ erkennen und für ihre Zwecke und ihr system formatieren.

durain




Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.