Synology SynoLocker: Diese Versionen des DiskStation Managers sind betroffen

Seit gestern ist bekannt: Hacker nutzen Schwachstellen im DiskStation Manager des Synology NAS aus, um einen Schädling einzuschleusen, der alle Daten verschlüsselt. Betroffenen bleibt bisher nur der Gang auf eine zwielichtige Seite, über die sie eine Entschlüsselung kaufen können sollen. Synology gab mir per Mail gerade ein Statement aus, in der man die betroffenen Versionen benennt, die Meldung wird sich auch auf den Seiten der Firma finden lassen.

Synology_DS414slim

Betroffen sind demnach alle Versionen bis zu DSM 4.3-3810. Hierbei wird eine bereits im Dezember 2013 gepatchte Sicherheitslücke in alten Versionen ausgenutzt, nach jetzigen Erkenntnissen ist DSM 5.x nicht angreifbar. Folgenden Hinweis gibt Synology allen NAS-Besitzern mit auf den Weg:

Menschen, die DSM 4.3 einsetzen, sollen mindestens auf DSM 4.3-3827 aktualisieren, wer noch DSM 4.1 oder DSM 4.2 einsetzt, der soll auf DSM 4.2-3243 oder höher aktualisieren. Da es auch noch Nutzer von DSM 4.0 gibt, sollen diese zumindest auf DSM 4.0-2259 oder höher aktualisieren.

Nutzer, die eine Warnmeldung beim Betreten des DSM-Dashboard sehen, oder einen Prozess namens synosync im Ressourcenmonitor wahrnehmen, sollen ihr NAS direkt abschalten und sich an den Support werden, Synology arbeitet weiterhin an der Behebung des Problems, wir halten euch ebenfalls auf dem Laufenden.

Solltet ihr also Syno-Besitzer im Bekanntenkreis haben, die vielleicht selten aktualisieren – dann sagt denen Bescheid.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

26 Kommentare

  1. DancingBallmer says:

    Vielen Dank für die Information. Da war die gestrige Twitter-Mitteilung eines offiziellen, von der jemand in den Beiträgen geschrieben hat, doch korrekt. Auch der Hinweis über Systemauffälligkeiten (Dashboard, laufender Prozess) finde ich sehr nützlich und interessant und wichtig. Das beruhigt.

  2. Danke für die zeitnahen Infos – im Gegensatz zur doch sehr trägen Herstellersupporttruppe. Dann kann ich meine beiden Synos wieder hochfahren 🙂

  3. Aha, dann ist meine Diskstation mit DSM5 ja sicher.
    Heise hatte den Beitrag noch nicht aktualisiert.

    Im Forum stand gestern aber, das jemand mit der DSM5 auch das Synlocker Problem hat.
    Hoffen wir mal, das es eine falsch Meldung war.

  4. Mich wundert ein wenig, das aber einige Screenshots mit DSM5 gezeigt wurde.

    Btw. wie kann ich mich eigentlich gut absichern? Reicht es den DynDNS Dienst aus der Synology zu löschen und die Ports am Router zu schließen?

  5. @Zelda: Schick mir mal so einen Screenshot

  6. Der einzige DSM5 Screenshot, den ich gesehen habe war von ifun und dieser deckt sich 0 mit dem Verhalten der effektiven Ransomware (es lassen sich einige Kisten finden, was richtig mies ist – die Txt mit der kompletten Dateiliste lässt sich von Aussen runterladen)
    Evtl hat Caschy ja Draht zu den Ifun Leuten, denke da hat einer unbewusst kurz einen Screenshot geschustert, ohne sich im Klaren zu sein, dass jeder gleich in Panikmode verfällt.

  7. @Caschy Ich hab dir ein Screenshot per Mail geschickt.
    Auf der Webseite, auf der der Screenshot mit der DSM 5.0 zu sehen war, ist jetzt nurnoch der Screenshot des SynoLocker, ohne DSM 5.0 Hintergrund.

    Wurde scheinbar editiert..

  8. @FabianS: Habe dir eben gemailt. Anscheinend haben die Menschen dort eine Fotomontage benutzt, was im konkreten Fall natürlich extrem verwirrend ist.

  9. @quorn: ich kenne einen der Autoren, habe da aber keine Lust auf Kontakt, weil man dort nur unter starken Schmerzen Quellen angibt.

  10. „… was im konkreten Fall natürlich extrem verwirrend ist.“
    milde ausgedrückt 😉

  11. Hi,

    also der Screenshot mit Version 5.0 ist Fake.
    Den Countdown bekommt man nur auf der “persönlichen Tor-Seite” angezeigt.
    Auf der Diskstation selbst bekommt man nur die Meldung, dass die Dateien verschlüsselt sind.

    Ich hatte gerade auch Kontakt mit einem Kollegen bei Synology, laut Ihnen ist die Lücke in Version 5.0 nicht vorhanden, eine offizielle Aussage war das aber nicht, da noch interne Tests laufen.

    Gruß Fabian

  12. Das ganze wäre weniger schlimm, wenn ältere DSs nicht ohne Not von neueren Entwicklungen abgehängt werden. Über den Paketmanager könnten sie das eine oder andere Feature ausknipsen. So werden sie immer wieder Ärger mit den Altgeräten kriegen. Und nein, ich kaufe mir nicht alle paar Jahre eine neue NAS.

  13. Namenlos, weil Cookies gelöscht... says:

    @troy: aber es gibt doch Patches für olle DS Versionen, falls eklatante Lücken gefixt werden.

  14. @Troy: dann verwendest du vermutlich auch noch Windows XP? Ja, natürlich kann man auch die Software auf einem 8 Jahren alten NAS weiterhin pflegen. Wäre es Ok, wenn Synology dir einen Supportvertrag anbietet? Falls du noch auf DSM 4.1 bist z.B. für 150 EUR/Jahr? Für die vom SynoLocker betroffenen DSM 4.x-Versionen gibt es schon seit einigen Monaten Patches, die die ausgenutzte Lücke wohl beheben. Aber es gibt ja auch Leute, die stolz darauf sind, dass ihr NAS seit über 3 Jahren ohne Downtime durchläuft…

  15. @Oliver: ich hoffe jetzt geht es dir besser.

  16. Synology hat damals nie die Hintergründe zur Sicherheitslücke offegelegt, oder? Wir wissen also nicht, ob es ein Programmierfehler oder der Hack einer absichtlich eingebauten Hintertür war. Das schafft nicht gerade Vertrauen…

  17. @Lux: bevor man ahnungslos spekuliert, hilft die Suche nach CVE-2013-6955 😉 http://www.securityfocus.com/archive/1/531602

  18. Danke für die Info.

    Was ich nicht verstehe ist wie man sich über die Supporttruppe aufregen kann. Das können doch nur Menschen machen die keinerlei Ahnung von dem ganzen haben?
    Du musst am Ende erstmal indetifizieren was genau da passiert und dazu reicht es nicht einfach nur nen Honeypot aufzustellen. Du brauchst Betroffene die Dir als Hersteller helfen und nicht nur hysterisch rumkreischen. Dann musst Du das ganze wirklich gut analysieren. Wenn Du jetzt eine falsche Warung raus gibts sind auch wieder alle sauer. Ich kenne da auch meinem Geschäft. Umfeld Firmen da wirst Du davon gar nichts hören oder nur auf explizite Nachfrage.

    Syno macht das IMHO nen guten Job und ich möchte da kein Supporter sein der gerade alle Ports abscannt und versucht das alles nachzustellen.

  19. @Caschy: Danke für den Link, aber dort werden lediglich die Symptome und Lösungsvorschläge beschrieben. Das wussten wir schon. 😉

    Meine Kritik bezog sich aber darauf, dass Synology die Ursache verschweigt, ob es ein Programmierfehler oder der Hack einer absichtlich eingebauten Hintertür war. Oder hab ich was verpasst?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.