Achtung! SynoLocker verschlüsselt Daten auf Synology-NAS
von caschy | 57 Kommentare
Wie wichtig das regelmäßige Einspielen von Sicherheitsupdates sind, muss sicherlich nicht erneut aufgeschrieben werden. Fast täglich sind wir neuen Bedrohungen im Netz ausgesetzt – und eben jene machen nicht nur Jagd auf Sicherheitslücken in Desktop-Systemen oder Smartphones, sondern sie suchen auch andere Einfallstore.
Diese können zum Beispiel vorhanden sein, wenn man Geräte via Internet erreichbar macht. Mal die Thematik VPN außen vor gelassen: Ich persönlich bin da ja etwas abgeschotteter unterwegs, so hat mein Synology NAS derzeit nur Verbindung im heimischen Netzwerk, ist von draußen also nicht erreichbar. Ich vollziehe gerne eine Trennung zwischen Internet und LAN möchte auch Dienste trennen – und eben jenes gelingt mir nur, wenn ich das NAS, welches ich für wichtige Daten nutze, abschotte.
Hier verzichte ich dann zwar von extern auf die Bequemlichkeit, auf gewisse Daten zuzugreifen, allerdings fühle ich mich sicherer. Nun aber zum eigentlichen Thema: Es sind Fälle bekannt geworden, bei denen Synology NAS-Systeme angegriffen wurde. Irgendeiner der darauf laufenden Dienste hat eine Sicherheitslücke, die es Angreifern ermöglichten, in das NAS einzubrechen und dort einen Dienst zu starten, der sämtliche Daten verschlüsselt – den SynoLocker.
Den Benutzer erwartet eine Meldung, dass er sich via Tor Browser auf einer bestimmten Webseite einloggen soll. Hier wird dann eine Zahlung fällig, ansonsten sind die Daten unwiederbringlich stark verschlüsselt und damit verloren. Der Bruder unseres Lesers Marc ist ebenfalls ein Betroffener und kann nun nicht mehr auf seine Daten zugreifen – kein Einzelfall, wenn man NAS-Foren durchsucht.
Wir werden das Ganze im Auge behalten und gegebenenfalls später noch einmal darüber berichten. Bis Informationen darüber vorliegen, ob nur ältere DSM 4.x-Versionen betroffen sind, oder aber auch neuere, solltet ihr vielleicht euer Synology NAS von der Außenwelt abschotten (alle Infos, die ich bislang fand, beziehen sich auf DSM 4.3). Also: Entweder Dienste auf dem NAS deaktivieren, oder die Erreichbarkeit von draußen beenden – vielleicht über etwaige Port-Weiterleitungen in eurem Router. Eine offizielle Stellungnahme steht noch aus. (Danke Marc und Christoph!)
Wird geladen ...
@Sebastian Korrekter Link: http://xpenology.com/forum/viewtopic.php?f=2&t=3575 Das sieht für mich erst einmal nur aus, dass man so Zugriff auf das NAS bekommt, die Daten aber verschlüsselt bleiben, oder?
@paradoxus: wenn das NAS von außen über eine Portfreigabe angegriffen wird, dann spielt das OS und der Browser auf dem PC eher keine Rolle. Auf der Syno läuft ein Linux und einen Browser betreibt man auf dem NAS üblicherweise nicht. Viele haben aber Zugriff von außen z.B. auf die Photo Station, Mailserver, Wiki, DSM selbst etc. eingerichtet, dazu sind diese Dienste ja da. Und für einen dieser Dienste scheint es einen Exploit zu geben, über den der Angriff erfolgt.
Der „Workaround“ ist allerdings nur ein Workaround, um vom PC wieder an DSM zu kommen. An der Verschlüsselung der Daten ändert das leider nichts. Ich habe erst mal alle Freigaben deaktiviert und warte jetzt mal ab, ob es Infos zu betroffenen Versionen/Modellen und hoffentlich bald einen Patch gibt.
Gibt es Informationen, ob bei angegriffenen Synos auch Backups auf externen USB-Platten verschlüsselt wurden?
Ja, externen Platten werden ebenfalls mit verschlüsselt – leider! 🙁
Ich werde erstmal meine externe Sicherungs-Platte abziehen und da ich DSM 5.03 drauf habe davon ausgehen, dass man auf mein NAS nicht draufkommt.
auch wenns unbequem ist – die externe sicherungsplatte sollte sowieso immer abgesteckt und an einem anderen ort verwahrt werden (stromschlag, diebstahl etc) 😉
So, Support von Syno ist schon dran (Danke Frank!), schalten sich drauf, nachdem ich mit leeren Bays die Installation von DSM angestossen habe, bleibt die Installation natuerlich stehen. Da setzt Syno Support ein.
Mein Syno war mit Diensten im WWW verfuegbar DSFile, DSAudio, DSPhoto, DSVideo. Und noch was: Shame on me aber die Version war eine 4.3; hatte ich mir im INstallationsassi angeschaut. WIe schon angedeutet, bin ich teilweise wochenlang nicht auf der Syno unterwegs. Ich kann mich an ein Update dieses Jahr erinnern, dass ich durchgefuehrt habe. Also koennte 5er kein Kandidate fuer Angriffe sein. Trotzdem so ein Scheiss! Mein Bruder Marc und ich bereden schon, was wir nun tun, um nicht wirklich eine Platte haendisch ranhaengen zu muessen und dann natuerlich wieder ab. Bis spaeter, T
Ich halte es wie Caschy und lasse mein NAS schon für einige Zeit nicht mehr direkt ins Internet. Synology und Fritzbox sind hier entsprechend abgeschottet.
Aber auch das bietet natürlich keine absolute Sicherheit, weil die Geräte ja doch physikalisch irgendwie vernetzt sind. Und in der Vergangenheit wurden ja bei allen Geräten Sicherheitslücken bekannt, auch bei Fritzboxen und Synology NAS.
Leider sind die Hersteller hier nicht wirklich transparent und verschweigen, ob es sich um Programmierfehler oder um gehackte Hintertüren handelt.
Auf Twitter schreibt @MarkBrokeIt, dass nur DSM 4.3-3810 betroffen sei.
Original-Tweet: So far, only confirmed @Synology OS ver hit by #Synolocker is 4.3-3810. If you don’t have 4.3-3827 upd 4 on yours, upgrade NOW.
Gerade abgeschickt, schreibt @MarkBrokeIt, dass es doch 2 User mit DSM 5 getroffen hat.
Schreibe heute aber auch nichts Gescheites und halte mich ab jetzt besser raus! 😉
@Sebastian: Im Forum behaupten 2 Nutzer, bei ihnen wäre DSM 5 betroffen, von daher ist die Aussage in Frage zu stellen. https://twitter.com/MarkBrokeIt/status/496279807626190848
@Sebastian
Interessant, ich glaube das war auch die Version mit dem Bitcoin-Problem, bin mir da aber nicht mehr so sicher. Anbei mal der Changelog der nächsten Version.
Version: 4.3-3827
(2014/2/14)
Change Log
This update repairs the system and removes malware caused by past system vulnerabilities (CVE-2013-6955, CVE-2013-6987).
The compatibility of SMB 2 file service has been enhanced when transferring files to Mac OS X 10.9.
Fixed an issue where SFTP service would consume excessive memory when it was enabled.
Enhanced the reliability of QuickConnect and Push Service notifications.
http://www.synology.com/de-de/releaseNote/model/DS213+
Das sagt Google zu den zwei Malwareproblemen:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6987
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6955
Wer sein NAS offen ins Netz hängt hat es nicht anders verdient!
Wenn es schon von außen erreichbar sein soll, dann über VPN – alles andere ist ein Himmelfahrskommando…
@Caschy: Beim Kommentieren gibt’s seit heute manchmal eine WordPress-Fehlermeldung, und dann bekomt man auch keine Mail mehr für die Benachrichtigung bei weiteren Kommentaren.
Kann man eigentlich eine Diskussion abonnieren, ohne einen eigenen Kommentar zu schreiben? Wenn ja, wie?
Die Fehlermeldung lautet übrigens:
{“success”:”false”,”error”:{“message”:”Wordpress Error – {\”errors\”:{\”http_request_failed\”:[\“Operation timed out after 5000 milliseconds with 0 bytes received\“]},\”error_data\”:[]}”}}
Das regelmäßige Einspielen von Updates würde ich jetzt nicht so pauschal empfehlen. Die Details sind noch unklar, aber es gibt einige Berichte von betroffenen Nutzern deren Synologies keine eingehenden Verbindungen des WAN akzeptiert haben sollen, und die angeblich nach einem Firmware-Update der Box von der Schadsoftware befallen waren. Es ist also durchaus auch möglich dass gerade das Update das Problem ist. Eine Aktualisierung kann, genauso gut wie sie eine schließen kann, auch eine neue Lücke öffnen. Von vollautomatischen Aktualisierungen rate ich in den meisten Fällen eigentlich eher ab. Schon mehrmals war ich nachträglich froh, nicht in den ersten Stunden oder Tagen eine neue, unsichere Softwareversion laufen gelassen zu haben.
@Lux: Versuch doch einfach mal Telegram oder irgendeine Windows-App!!!!!! 😉
Spaß beiseite: wir sind dran, hängt mit Cloudflare zusammen.
@Caschy: Touché! 🙂
@Alex: Verdient hat das keiner – solch ein Kommentar ist gaenzlich ueberfluessig.
Wie kann man denn das NAS nur per VPN erreichbar machen?
Ich lasse VPN auch über das Synology NAS laufen.
Möchte noch kurz anfügen dass ich die entsprechenden Berichte bzgl. Befall nach Firmware-Update auch sehr kritisch betrachte, da gerade die Betroffenen wohl auch grössere Probleme damit hätten die Situation und Umstände zu analysieren. Wer analysiert denn beim Durchführen eines Updates, gerade wenn automatisch, schon was sich in Hinsicht auf Einstellungen, Ports und Prozesse so tut. Ändert aber natürlich nichts daran dass ich in gewissen Fällen einen gewissen „Sicherheitspuffer“ von ein paar Tagen vor der Installation von Updates für sinnvoll halte.
Externe Platten / Backup:
Heißt also die Dateien werden als Änderungen auf dem NAS erkannt und die neue verschlüsselte Datei überschreibt die alte nicht verschlüsselte auf der externen HDD?