Synology SynoLocker: Diese Versionen des DiskStation Managers sind betroffen
von caschy | 26 Kommentare
Seit gestern ist bekannt: Hacker nutzen Schwachstellen im DiskStation Manager des Synology NAS aus, um einen Schädling einzuschleusen, der alle Daten verschlüsselt. Betroffenen bleibt bisher nur der Gang auf eine zwielichtige Seite, über die sie eine Entschlüsselung kaufen können sollen. Synology gab mir per Mail gerade ein Statement aus, in der man die betroffenen Versionen benennt, die Meldung wird sich auch auf den Seiten der Firma finden lassen.
Betroffen sind demnach alle Versionen bis zu DSM 4.3-3810. Hierbei wird eine bereits im Dezember 2013 gepatchte Sicherheitslücke in alten Versionen ausgenutzt, nach jetzigen Erkenntnissen ist DSM 5.x nicht angreifbar. Folgenden Hinweis gibt Synology allen NAS-Besitzern mit auf den Weg:
Menschen, die DSM 4.3 einsetzen, sollen mindestens auf DSM 4.3-3827 aktualisieren, wer noch DSM 4.1 oder DSM 4.2 einsetzt, der soll auf DSM 4.2-3243 oder höher aktualisieren. Da es auch noch Nutzer von DSM 4.0 gibt, sollen diese zumindest auf DSM 4.0-2259 oder höher aktualisieren.
Nutzer, die eine Warnmeldung beim Betreten des DSM-Dashboard sehen, oder einen Prozess namens synosync im Ressourcenmonitor wahrnehmen, sollen ihr NAS direkt abschalten und sich an den Support werden, Synology arbeitet weiterhin an der Behebung des Problems, wir halten euch ebenfalls auf dem Laufenden.
Solltet ihr also Syno-Besitzer im Bekanntenkreis haben, die vielleicht selten aktualisieren – dann sagt denen Bescheid.
Wird geladen ...
Vielen Dank für die Information. Da war die gestrige Twitter-Mitteilung eines offiziellen, von der jemand in den Beiträgen geschrieben hat, doch korrekt. Auch der Hinweis über Systemauffälligkeiten (Dashboard, laufender Prozess) finde ich sehr nützlich und interessant und wichtig. Das beruhigt.
Danke für die zeitnahen Infos – im Gegensatz zur doch sehr trägen Herstellersupporttruppe. Dann kann ich meine beiden Synos wieder hochfahren 🙂
Aha, dann ist meine Diskstation mit DSM5 ja sicher.
Heise hatte den Beitrag noch nicht aktualisiert.
Im Forum stand gestern aber, das jemand mit der DSM5 auch das Synlocker Problem hat.
Hoffen wir mal, das es eine falsch Meldung war.
Mich wundert ein wenig, das aber einige Screenshots mit DSM5 gezeigt wurde.
Btw. wie kann ich mich eigentlich gut absichern? Reicht es den DynDNS Dienst aus der Synology zu löschen und die Ports am Router zu schließen?
@Zelda: Schick mir mal so einen Screenshot
Der einzige DSM5 Screenshot, den ich gesehen habe war von ifun und dieser deckt sich 0 mit dem Verhalten der effektiven Ransomware (es lassen sich einige Kisten finden, was richtig mies ist – die Txt mit der kompletten Dateiliste lässt sich von Aussen runterladen)
Evtl hat Caschy ja Draht zu den Ifun Leuten, denke da hat einer unbewusst kurz einen Screenshot geschustert, ohne sich im Klaren zu sein, dass jeder gleich in Panikmode verfällt.
@Caschy Ich hab dir ein Screenshot per Mail geschickt.
Auf der Webseite, auf der der Screenshot mit der DSM 5.0 zu sehen war, ist jetzt nurnoch der Screenshot des SynoLocker, ohne DSM 5.0 Hintergrund.
Wurde scheinbar editiert..
@FabianS: Habe dir eben gemailt. Anscheinend haben die Menschen dort eine Fotomontage benutzt, was im konkreten Fall natürlich extrem verwirrend ist.
@quorn: ich kenne einen der Autoren, habe da aber keine Lust auf Kontakt, weil man dort nur unter starken Schmerzen Quellen angibt.
„… was im konkreten Fall natürlich extrem verwirrend ist.“
milde ausgedrückt 😉
@caschy:
Hab dieses Bild gemeint:
http://www.synology-forum.de/attachment.html?attachmentid=18379&d=1407149042
Bzw. hier kurz hochgeladen:
http://abload.de/img/syno-locker83bp4.jpg
Hi,
also der Screenshot mit Version 5.0 ist Fake.
Den Countdown bekommt man nur auf der “persönlichen Tor-Seite” angezeigt.
Auf der Diskstation selbst bekommt man nur die Meldung, dass die Dateien verschlüsselt sind.
Ich hatte gerade auch Kontakt mit einem Kollegen bei Synology, laut Ihnen ist die Lücke in Version 5.0 nicht vorhanden, eine offizielle Aussage war das aber nicht, da noch interne Tests laufen.
Gruß Fabian
Das ganze wäre weniger schlimm, wenn ältere DSs nicht ohne Not von neueren Entwicklungen abgehängt werden. Über den Paketmanager könnten sie das eine oder andere Feature ausknipsen. So werden sie immer wieder Ärger mit den Altgeräten kriegen. Und nein, ich kaufe mir nicht alle paar Jahre eine neue NAS.
@troy: aber es gibt doch Patches für olle DS Versionen, falls eklatante Lücken gefixt werden.
@Troy: dann verwendest du vermutlich auch noch Windows XP? Ja, natürlich kann man auch die Software auf einem 8 Jahren alten NAS weiterhin pflegen. Wäre es Ok, wenn Synology dir einen Supportvertrag anbietet? Falls du noch auf DSM 4.1 bist z.B. für 150 EUR/Jahr? Für die vom SynoLocker betroffenen DSM 4.x-Versionen gibt es schon seit einigen Monaten Patches, die die ausgenutzte Lücke wohl beheben. Aber es gibt ja auch Leute, die stolz darauf sind, dass ihr NAS seit über 3 Jahren ohne Downtime durchläuft…
@Oliver: ich hoffe jetzt geht es dir besser.
Synology hat damals nie die Hintergründe zur Sicherheitslücke offegelegt, oder? Wir wissen also nicht, ob es ein Programmierfehler oder der Hack einer absichtlich eingebauten Hintertür war. Das schafft nicht gerade Vertrauen…
@Lux: bevor man ahnungslos spekuliert, hilft die Suche nach CVE-2013-6955 😉 http://www.securityfocus.com/archive/1/531602
Danke für die Info.
Was ich nicht verstehe ist wie man sich über die Supporttruppe aufregen kann. Das können doch nur Menschen machen die keinerlei Ahnung von dem ganzen haben?
Du musst am Ende erstmal indetifizieren was genau da passiert und dazu reicht es nicht einfach nur nen Honeypot aufzustellen. Du brauchst Betroffene die Dir als Hersteller helfen und nicht nur hysterisch rumkreischen. Dann musst Du das ganze wirklich gut analysieren. Wenn Du jetzt eine falsche Warung raus gibts sind auch wieder alle sauer. Ich kenne da auch meinem Geschäft. Umfeld Firmen da wirst Du davon gar nichts hören oder nur auf explizite Nachfrage.
Syno macht das IMHO nen guten Job und ich möchte da kein Supporter sein der gerade alle Ports abscannt und versucht das alles nachzustellen.
@Caschy: Danke für den Link, aber dort werden lediglich die Symptome und Lösungsvorschläge beschrieben. Das wussten wir schon. 😉
Meine Kritik bezog sich aber darauf, dass Synology die Ursache verschweigt, ob es ein Programmierfehler oder der Hack einer absichtlich eingebauten Hintertür war. Oder hab ich was verpasst?