Synology informiert über Brute-Force-Angriffe auf NAS-Geräte
von caschy | 33 Kommentare
Wir bekamen in den letzten Tagen Hinweise von einigen Lesern, dass diese wohl sehr viele Warnmeldungen bekamen, da Fremde auf ihr NAS von Synology zugreifen wollten. Offensichtlich keine Einzelfälle, wie Synology mittlerweile bestätigte. Das PSIRT (Product Security Incident Response Team) von Synology habe in letzter Zeit Berichte über eine Zunahme von Brute-Force-Angriffen auf Synology-Geräte erhalten.
Die Sicherheitsforscher von Synology glauben, dass das Botnet hauptsächlich von einer Malware-Familie namens „StealthWorker“ angetrieben wird. Zum jetzigen Zeitpunkt hat das Synology PSIRT keine Anzeichen dafür gesehen, dass die Malware irgendwelche Software-Schwachstellen ausnutzt.
Diese Angriffe nutzen eine Reihe bereits infizierter Geräte, um zu versuchen, allgemeine administrative Anmeldedaten zu erraten, und wenn sie erfolgreich sind, greifen sie auf das System zu, um ihre bösartige Software zu installieren, die Ransomware enthalten kann. Die infizierten Geräte können weitere Angriffe auf andere Linux-basierte Geräte, einschließlich Synology NAS, durchführen.
Das Synology PSIRT arbeitet laut eigener Aussagen mit den CERT-Organisationen zusammen, um mehr über die bekannten C&C-Server (Command and Control) hinter der Malware herauszufinden und diese abzuschalten. Synology benachrichtigt gleichzeitig potenziell betroffene Kunden.
Laut Synology solle man darauf achten, starke Anmeldeinformationen zu nutzen sowie die mehrstufige Authentifizierung einzurichten. Sicherheits-Tipps gibt’s auch auf dieser Seite.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Neben einem guten Passwort und MFA sollten auch die Standardkonten ersetzt werden. Also z.B. ein Konto adm-myname anlegen und dafür das Standard-Admin Konto löschen.
Die meisten ungezielten Angriffe versuchen es mit admin, root, administrator usw.
Ich hab neben dem Tipp von Hoempi auch die Firewallregeln recht scharf gestellt. Einmal falsch angemeldet, blockiert.
Das dürften die meisten Nutzer schon geändert haben da Synology seit einigen Updates äußerst penetrant auf diesen Umstand hinweist. Selbst wenn das nas überhaupt nicht von extern erreichbar ist.
@elknipso
Ah, sehr gut. Danke für den Hinweis 🙂
Ich habe meine Umgebung seit meinem Start mit einer DS212j immer migriert, damals wurde man da noch nicht so darauf hingewiesen.
NAS von außen halt nur per VPN zugänglich machen.
Schwups Problem gelöst.
Das ist aber bei geschäftlich Genutzen NAS nicht immer möglich.
Z.b. Wenn man Dateien über die Dateianforderung Dokumente von Kunden erhält.
So verlockend diese ganzen Funktionen bei Synology sind, genutzt habe ich sie geschäftlich nie. Lieber woanders bisschen was bezahlt und das NAS mit den Firmendaten nicht frei zugänglich ins Netz gestellt.
Super Idee. Dann hätte es auch eine externe Festplatte getan. E-Mail Server sind ja z.B. so gut über VPN erreichbar. Und manche Apps quittieren den Dienst über VPN.
Du denkst in Einzelnutzer Szenarien. Eine externe Festplatte hängst du wo hin, damit mehrere darauf zugreifen können? An einen PC der die ganze Zeit laufen muss? Egal, eigentlich geht es um etwas anderes… Warum du denkst, dass man sich ein NAS schenken kann, wenn es nicht aus dem Internet leicht erreichbar ist, verstehe ich nicht. Mir scheint, dass du dich mit IT-Sicherheit und Datensicherheit nicht so viel beschäftigt hast.
Je wichtiger die Daten, desto schärfer sollten die Zugriffsbeschränkungen sein. Ein NAS mit vertraulichen Daten gehört entweder gar nicht oder nur mit gut gesichertem VPN und strengen Zugriffsrechten ins Netz.
@Resent: Irgendwo ist ein Tippfehler in deinem Beitrag – ich verstehe nicht was eigentlich der Plan ist. Aber für einen reinen Dateiaustausch mit Kunden würde ich niemals mein NAS öffnen.
Man sollte es im Jahr 2021 schon mitbekommen haben, dass es inzwischen ein Multi-Millionen-Geschäft ist, aktiv nach Sicherheitslücken zu suchen und diese professionell kriminell auszunutzen. Da kann ein NAS-Hersteller noch so sorgfältig arbeiten, es wird irgendwann eine Lücke gefunden, die dann ausgenutzt wird, bevor sie irgendwer anders entdeckt hat. Daher verstehe ich nicht, woher eure lockere Haltung kommt. Diese Entwicklung muss man doch mitbekommen haben, wenn man sich nur ein kleines bisschen für IT interessiert.
Schonmal einen öffentlichen Server administriert? Mail, Web? Oder setzt Caschy ein VPN voraus, um seine Seite lesen zu können? Er seine Mails lesen kann?Nicht böse sein, es fehlt Dir an Wissen.
Der normale Anwender kauft sich ein NAS, gerade damit die Daten über das Internet verfügbar sind. Dass das vielleicht keine gute Idee ist, kann man ja durchaus diskutieren, dennoch aber ist das für viele *der* entscheidende Grund, sich sowas hinzustellen, und genau das wird auch regelmäßig als herausragendes Merkmal beworben.
Ich kenne viele Leute, die ein NAS im Einsatz haben, aber von denen hat sich das kein einziger gekauft, um es ungeschützt in’s Internet zu stellen. Wer so irre (oder naiv) ist, der hat kein Mitleid sondern Hohn und Spott verdient, wenn das Ding früher oder später gehackt wird.
Betrifft das nicht nur Geräte, die von „außen“ zugänglich sind, also via „QuickConnect“? Standardmässig ist das doch gar nicht der Fall.
Mein Synology-NAS horscht nur auf Port 80 und 443. Habe eine WildCard-Zertifikat des Synology-DynDNS und nutze deswegen für den Zugriff nur HTTPS. Trotzdem laufen bei mir zig Dienste im Docker auf dem NAS (FireFox-Sync-Server, Wallabag, Grafana, IoBroker, Synology Contacts/ Kalender ua.), die auch extern über Port 443 und passender URL erreichbar sind.
Alle Dienste nutzen nicht die Standardports, die Synoilogy eigentlich vorgesehen hat.
Diese Konfiguration habe ich über das Anwendungsportal in der Systemsteuerung (nginx) erreicht. Dadurch muss die aufgerufene URL in der Synology bekannt sein, um korrekt weitergeleitet zu sein. Unbekanntes landet auf einer Standardwebseite der NAS.
Den Prot 80 brauche ich eigentlich nicht, aber leider wird dieser für die Erstellung der Zertifikate über Let`s Encrypt benötigt.
Passwörterlänge bei mir ist 12 Zeichen.
Kurzum fühle mich relativ sicher und sehe in den Logs nur selten Versuche, wobei das öfters auch interne Fehlversuche sind.
Hallo Christoph,
ich habe eine ähnliche Konfig wie du. Allerdings habe ich bei dem Anwendungsportal das Problem, dass ich meine Docker-Container nur erreiche, wenn ich die auch im Bridge-Mode nutze. Einige meiner Container laufen aber in einem macvlan. Obwohl die Angaben passen, sind diese trotzdem nicht erreichbar.
Bist du zufällig über ein Ähnliches Problem gestoplert? Und nutzt du eventuell auch die Zugangskontrollprofile?
Hallo Hoempi,
ich nutze bewußt den Bridge-Mode, weil ich dann das Ports-Mapping nach meinen Wünschen machen kann ohne das Docker – Image zu manipulieren. Ich benutze aber auch Pi-Hole im Docker – Container in einem macvlan und habe es mal schnell versucht. Es ist dann extern trotzdem nicht erreichbar.
In den DEV-Tools des Browsers sehe ich dann „Bad Gateway 502“. Muss ich mir mal anschauen
Genau darum geht es bei mit auch. Die meisten laufen als Bridge, aber unbound und Pi-Hole z.B. als macvlan.
Ich wollte das dann gerne noch mit den Zugangskontrollprofilen kombinieren, so dass einige Dienste zwar einen ansprechenden Namen haben, und die nervige Anzeige aufgrund mangelnder SSL-Absicherung in den Browsern entfällt, aber eben nur aus meinem Heimnetz erreichbar sind.
Danke für deine Mühen schonmal 🙂
Habe gefunden, dass es wohl ein Docker – Sicherheitsfeature ist, dass macvlans nicht mit dem Host reden dürfen und auch einen Weg wie man es umgehen kann: https://collabnix.com/2-minutes-to-docker-macvlan-networking-a-beginners-guide/
Hatte auch schon Zug fehlgeschlagene Login Versuche am Tag.
Hab dann alle Länder außerhalb Deutschlands gesperrt, jetzt ist fast komplett Ruhe, nur alle paar Wochen kommt Mal ein Anmeldeversuch, davor Stündlich.
So handhabe ich es auch. Alle Länder außer DE und vielleicht noch AT/IT/CH gesperrt.
Die Verlängerung von LetsEncrypt Zertifikaten muss man dann halt händisch machen indem man dazu kurzzeitig Port 80 und 443 global freigibt.
Wie kann man Länder != „DE“ sperren in der Synology – NAS …. finde ich sehr interessant die Option
Gefunden … Danke
na, dann lass uns mal teilhaben… 😉
Hier wurde ich dies bzgl. aufgecshlaut: https://basic-tutorials.de/synology-mehr-sicherheit-durch-geoblocking/
Hier ist das gut beschrieben. Selbst gerade eingerichtet, zusätzlich zu MFA.
https://gadgetchecks.de/synology-dsm-6-2-tutorial-mehr-sicherheit-durch-geoip/
Fyi. Sofern man den DynDNS dienst von Synology nutzt, kann man auf eine Freigabe der Ports 80/443 bezüglich Lets Encrypt verzichten. Ich habe meine DiskStation zur Zeit garnicht ans Internet angebunden, trotzdem werden Zertifikate automatisch erneuert. Weiss aber nicht wie das technisch umgesetzt wird.
Grüße
Hier findet man auch schon länger Anleitungen zum absichern seiner NAS https://mariushosting.com/?s=geo+blocking
Bin gerade auf Kreta, mit einer IP aus DE (DTAG) … VPN und Geoblocking ist so eine Sache 😉 Es mindert zumindestens das Rauschen ….
Ich war anscheinend auch betroffen. Im Minutentakt neue Versuche, sich als user „admin“ im DSM anzumelden. Das ging direkt über meine öffentliche IP Adresse. Deaktivierung von Synology DynDNS und QuickConnect brachte keine Besserung.
Interessanterweise wurde jeder Versuch von einer neuen IP heraus durchgeführt. Habe mich schon gefragt, wie man an so viele verschiedene IPs kommt. Aber das macht ja jetzt mit den Erklärungen in diesem Artikel Sinn (Botnet)
Das verhindert jedenfalls die automatische Blockierung, die anscheinend immer IP bezogen ist.
Was bei mir dann Ruhe brachte war das Umbiegen des Standard-Ports (5000 / 5001) im Router. Man kann ja in den diversen Synology Mobile Apps auch immer den Port mit in der URL angeben (xyz.synology.me:12345) und dann funktioniert das mit jedem beliebigen Port.
Hallo,
was mich etwas verunsichert, ist folgender Ausschnitt aus dem Bericht: „Diese Angriffe nutzen eine Reihe bereits infizierter Geräte, um zu versuchen, allgemeine administrative Anmeldedaten zu erraten“
Bedeutet das, dass meine Synobox bereits infizierti ist?
Ich wurde auch angegriffen und habe entsprechend den Empfehlungen von Synology gehandelt. Auf DSM 7 aktualisiert und bei den Admin-Konten darf der Zugang nur über 2-Faktoren Autorisierung (PW+SecureSigIn) erfolgen.
Das Standard Admin Konto habe ich deaktiviert. Leider lässt sich das Konto bei mir nicht löschen oder umbenennen.
Es kommt die Fehlernachricht „Dieser Benutzername existiert bereits, oder ist für die allgemeine Nutzung vom System vorbehalten. Geben Sie einen anderen Namen ein.“ Keine Ahnung woran das liegt?!
An Geoblocking habe ich mich noch nicht heran getraut wird jedoch wohl der nächste Schritt werden.
Musste den DDNS Zugang abschalten um erst einmal etwas Ruhe zu bekommen. QuickConnect ist noch aktiv.
Das bedeutet, dass infizierte Geräte Teil eines Botnetzes werden.Das bedeutet nicht, dass das deine infiziert ist 🙂
Danke, da bin ich beruhigt
Bei meiner NAS funktioniert alles komplett sorgenfrei 🙂 Bin ich auch nur gewohnt. Wenn es Unklarheiten gibt, spring ich ein, schreibe dem live-support und wups -> es ist alles geklärt. Man darf sich nur nicht verrückt machen und Synology, kann ich seit Jahren unbesorgt vertrauen 🙂