Synology SynoLocker: Diese Versionen des DiskStation Managers sind betroffen

Seit gestern ist bekannt: Hacker nutzen Schwachstellen im DiskStation Manager des Synology NAS aus, um einen Schädling einzuschleusen, der alle Daten verschlüsselt. Betroffenen bleibt bisher nur der Gang auf eine zwielichtige Seite, über die sie eine Entschlüsselung kaufen können sollen. Synology gab mir per Mail gerade ein Statement aus, in der man die betroffenen Versionen benennt, die Meldung wird sich auch auf den Seiten der Firma finden lassen.

Synology_DS414slim

Betroffen sind demnach alle Versionen bis zu DSM 4.3-3810. Hierbei wird eine bereits im Dezember 2013 gepatchte Sicherheitslücke in alten Versionen ausgenutzt, nach jetzigen Erkenntnissen ist DSM 5.x nicht angreifbar. Folgenden Hinweis gibt Synology allen NAS-Besitzern mit auf den Weg:

Menschen, die DSM 4.3 einsetzen, sollen mindestens auf DSM 4.3-3827 aktualisieren, wer noch DSM 4.1 oder DSM 4.2 einsetzt, der soll auf DSM 4.2-3243 oder höher aktualisieren. Da es auch noch Nutzer von DSM 4.0 gibt, sollen diese zumindest auf DSM 4.0-2259 oder höher aktualisieren.

Nutzer, die eine Warnmeldung beim Betreten des DSM-Dashboard sehen, oder einen Prozess namens synosync im Ressourcenmonitor wahrnehmen, sollen ihr NAS direkt abschalten und sich an den Support werden, Synology arbeitet weiterhin an der Behebung des Problems, wir halten euch ebenfalls auf dem Laufenden.

Solltet ihr also Syno-Besitzer im Bekanntenkreis haben, die vielleicht selten aktualisieren – dann sagt denen Bescheid.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

26 Kommentare

  1. DancingBallmer says:

    Vielen Dank für die Information. Da war die gestrige Twitter-Mitteilung eines offiziellen, von der jemand in den Beiträgen geschrieben hat, doch korrekt. Auch der Hinweis über Systemauffälligkeiten (Dashboard, laufender Prozess) finde ich sehr nützlich und interessant und wichtig. Das beruhigt.

  2. BeetleTom says:

    Danke für die zeitnahen Infos – im Gegensatz zur doch sehr trägen Herstellersupporttruppe. Dann kann ich meine beiden Synos wieder hochfahren 🙂

  3. Aha, dann ist meine Diskstation mit DSM5 ja sicher.
    Heise hatte den Beitrag noch nicht aktualisiert.

    Im Forum stand gestern aber, das jemand mit der DSM5 auch das Synlocker Problem hat.
    Hoffen wir mal, das es eine falsch Meldung war.

  4. Mich wundert ein wenig, das aber einige Screenshots mit DSM5 gezeigt wurde.

    Btw. wie kann ich mich eigentlich gut absichern? Reicht es den DynDNS Dienst aus der Synology zu löschen und die Ports am Router zu schließen?

  5. @Zelda: Schick mir mal so einen Screenshot

  6. Der einzige DSM5 Screenshot, den ich gesehen habe war von ifun und dieser deckt sich 0 mit dem Verhalten der effektiven Ransomware (es lassen sich einige Kisten finden, was richtig mies ist – die Txt mit der kompletten Dateiliste lässt sich von Aussen runterladen)
    Evtl hat Caschy ja Draht zu den Ifun Leuten, denke da hat einer unbewusst kurz einen Screenshot geschustert, ohne sich im Klaren zu sein, dass jeder gleich in Panikmode verfällt.

  7. @Caschy Ich hab dir ein Screenshot per Mail geschickt.
    Auf der Webseite, auf der der Screenshot mit der DSM 5.0 zu sehen war, ist jetzt nurnoch der Screenshot des SynoLocker, ohne DSM 5.0 Hintergrund.

    Wurde scheinbar editiert..

  8. @FabianS: Habe dir eben gemailt. Anscheinend haben die Menschen dort eine Fotomontage benutzt, was im konkreten Fall natürlich extrem verwirrend ist.

  9. @quorn: ich kenne einen der Autoren, habe da aber keine Lust auf Kontakt, weil man dort nur unter starken Schmerzen Quellen angibt.

  10. „… was im konkreten Fall natürlich extrem verwirrend ist.“
    milde ausgedrückt 😉

  11. Hi,

    also der Screenshot mit Version 5.0 ist Fake.
    Den Countdown bekommt man nur auf der “persönlichen Tor-Seite” angezeigt.
    Auf der Diskstation selbst bekommt man nur die Meldung, dass die Dateien verschlüsselt sind.

    Ich hatte gerade auch Kontakt mit einem Kollegen bei Synology, laut Ihnen ist die Lücke in Version 5.0 nicht vorhanden, eine offizielle Aussage war das aber nicht, da noch interne Tests laufen.

    Gruß Fabian

  12. Das ganze wäre weniger schlimm, wenn ältere DSs nicht ohne Not von neueren Entwicklungen abgehängt werden. Über den Paketmanager könnten sie das eine oder andere Feature ausknipsen. So werden sie immer wieder Ärger mit den Altgeräten kriegen. Und nein, ich kaufe mir nicht alle paar Jahre eine neue NAS.

  13. Namenlos, weil Cookies gelöscht... says:

    @troy: aber es gibt doch Patches für olle DS Versionen, falls eklatante Lücken gefixt werden.

  14. @Troy: dann verwendest du vermutlich auch noch Windows XP? Ja, natürlich kann man auch die Software auf einem 8 Jahren alten NAS weiterhin pflegen. Wäre es Ok, wenn Synology dir einen Supportvertrag anbietet? Falls du noch auf DSM 4.1 bist z.B. für 150 EUR/Jahr? Für die vom SynoLocker betroffenen DSM 4.x-Versionen gibt es schon seit einigen Monaten Patches, die die ausgenutzte Lücke wohl beheben. Aber es gibt ja auch Leute, die stolz darauf sind, dass ihr NAS seit über 3 Jahren ohne Downtime durchläuft…

  15. @Oliver: ich hoffe jetzt geht es dir besser.

  16. Synology hat damals nie die Hintergründe zur Sicherheitslücke offegelegt, oder? Wir wissen also nicht, ob es ein Programmierfehler oder der Hack einer absichtlich eingebauten Hintertür war. Das schafft nicht gerade Vertrauen…

  17. @Lux: bevor man ahnungslos spekuliert, hilft die Suche nach CVE-2013-6955 😉 http://www.securityfocus.com/archive/1/531602

  18. Danke für die Info.

    Was ich nicht verstehe ist wie man sich über die Supporttruppe aufregen kann. Das können doch nur Menschen machen die keinerlei Ahnung von dem ganzen haben?
    Du musst am Ende erstmal indetifizieren was genau da passiert und dazu reicht es nicht einfach nur nen Honeypot aufzustellen. Du brauchst Betroffene die Dir als Hersteller helfen und nicht nur hysterisch rumkreischen. Dann musst Du das ganze wirklich gut analysieren. Wenn Du jetzt eine falsche Warung raus gibts sind auch wieder alle sauer. Ich kenne da auch meinem Geschäft. Umfeld Firmen da wirst Du davon gar nichts hören oder nur auf explizite Nachfrage.

    Syno macht das IMHO nen guten Job und ich möchte da kein Supporter sein der gerade alle Ports abscannt und versucht das alles nachzustellen.

  19. @Caschy: Danke für den Link, aber dort werden lediglich die Symptome und Lösungsvorschläge beschrieben. Das wussten wir schon. 😉

    Meine Kritik bezog sich aber darauf, dass Synology die Ursache verschweigt, ob es ein Programmierfehler oder der Hack einer absichtlich eingebauten Hintertür war. Oder hab ich was verpasst?

  20. @Lux: So kann man natürlich jedes Mal argumentieren. Jede Sicherheitslücke – JEDE – ist eine absichtlich eingebaute Hintertür….. Symptome stehen da nicht, sondern konkrete Informationen zum Exploit im CGI-Modul auf der Unix-Plattform.

  21. @DancingBallmer Sollte sich herrausstellen,dass es effektiv die gleiche Lücke ist, wie bei der Mininggeschichte hat Synology vor Ewigkeiten informiert, via diversen Kanälen. Wenn die Leute immernoch zu träge sind ihr System upzudaten, was wollen sie da noch gross kommunizeren? „Ja ihr Trottel solltet nun ECHT mal updaten“? Ich verstehe deine Kritik, Verbesserungspotential seitens Synology ist da, klar. Man muss halt auch bisschen relativieren, ein Shitstorm bricht aus, bei der momentanen Kenntnisse wegen Leuten mit Versionen mit -bekannten- Sicherheitslücken. Bevor hier vorschnell eine ungenaue Meldung rausgehauen wird darf das ganze auch mal anständig analysiert werden. Hätten sie voreilig was rausgehauen hätten alle gemeckert wie ungenau das Statement sei, warum keine Lösung da ist etc. Man wird nie alle zufriedenstellen können. Ich hatte den Zugriff auf meine Nas auch gekappt, auch wenn die Fakten gegen eine Gefahr für mich sprachen (keine Standart Ports, keine DSM5 dabei etc.). Klar macht so ein Vorfall nervös, aber man sollte die Hose auch locker halten imo. 😀

  22. DancingBallmer says:

    @ Gabe

    Es ist halt wirklich eine schwere Entscheidung, was gebe ich wann und wie heraus. Ich wünsche mir bei solchen Themen eben eine schnellere Kommunikation auf den eigenen Seiten. Wenn man gesicherte Informationen per Mail herausgeben kann, sollte man diese bitte auch zeitnah auf den eigenen Seiten veröffentlichen. Keine Ahnung wie es mit twiter und facebook ausschaute, aber erste Anlaufstelle bei Problemen ist für mich immer noch die Herstellerseite und dann das Supportforum.

    Wenn alte Sicherheitslücken so lange offen bleiben ist das auch so eine Sache, da hat Synology aber anscheinend mit DSM 5.0 schon nachgebessert. Die Leute sollten von der NAS per Mail über Updates informiert werden, falls notwendig auch wiederholt nach bestimmten Abständen. Kaum einer loggt sich als Admin regelmäßig in seine funktionierenden NAS ein. Bei meiner Diskstation mit 4.3.10.27 hatte ich vergeblich nach solch einer Funktion gesucht, unter DSM 5.0 soll das jetzt möglich sein. Bei solchen sicherheitsrelevanten Sachen kann man ruhig aggressiver sein, z.B. bei der Erstinstallation und in den Anleitungen explizit auf die Vorteile einer eMail-Benachrichtigung hinweisen. Wer es nicht braucht sollte es deaktivieren können, aber standardmäßig sollten solche Dinge viel öfter aktiviert sein. Da finde ich AVMs Weg mit den optionalen Autoupdates wirklich ncht schlecht, wobei ich das bei einer NAS dann doch problematischer sehe.

    Bevor hier der falsche Eindruck entsteht ich würde Synology komplett verteufeln, es ist nicht alles schlecht und im Endeffekt hat man schnell eine Lösung präsentiert. Aber die Sucherei nach Informationen hatte mich schon bei den letzten Sicherheitsproblemen ziemlich genervt.

  23. Moin,

    Hinweis für die Nutzer alter Systeme (hab noch eine DS207+ mit latest DSM3.1 als Replikations-Ziel im Einsatz:


    Dear xxx,

    according to our information, DSM 3.x is also not affected to SynoLock issue

    Best Regards,

    Synology Technical Support

    Außerdem:


    according to our developers, OpenSSL in DSM 3.x is not affected to HearBleed issue

    Gruß derWolle

  24. hallo alle
    da bin nu ganz einfach reingerasselt.
    DS212, DSM 4.3, genauere Angaben aktuell nicht verfügbar da kein Zugriff auf die DS möglich ist, auch nicht per Assistent. Da wird immer sofort die Seite von dem Erpresser angezeigt.
    Sämtliche Dateien sind verschlüsselt und unbrauchbar. Da alles aber noch als Backup vorhanden ist dürfte kein eigentlicher Schaden entstanden sein, mindestens was die Daten angeht.
    Frage: kann die DS wiederhergestellt werden (leer und jungfräulich) oder soll man sie besser schrotten und eine neue beschaffen.
    Habe mir schon überlegt die beiden Platten extern zu löschen (per Datenschredder) und formatieren. Die DS müsste ja dann die Platten auch wieder5 als „neu“ erkennen und für ihre Zwecke und ihr system formatieren.

    durain