Synology SynoLocker: Diese Versionen des DiskStation Managers sind betroffen
von caschy | 26 Kommentare
Seit gestern ist bekannt: Hacker nutzen Schwachstellen im DiskStation Manager des Synology NAS aus, um einen Schädling einzuschleusen, der alle Daten verschlüsselt. Betroffenen bleibt bisher nur der Gang auf eine zwielichtige Seite, über die sie eine Entschlüsselung kaufen können sollen. Synology gab mir per Mail gerade ein Statement aus, in der man die betroffenen Versionen benennt, die Meldung wird sich auch auf den Seiten der Firma finden lassen.
Betroffen sind demnach alle Versionen bis zu DSM 4.3-3810. Hierbei wird eine bereits im Dezember 2013 gepatchte Sicherheitslücke in alten Versionen ausgenutzt, nach jetzigen Erkenntnissen ist DSM 5.x nicht angreifbar. Folgenden Hinweis gibt Synology allen NAS-Besitzern mit auf den Weg:
Menschen, die DSM 4.3 einsetzen, sollen mindestens auf DSM 4.3-3827 aktualisieren, wer noch DSM 4.1 oder DSM 4.2 einsetzt, der soll auf DSM 4.2-3243 oder höher aktualisieren. Da es auch noch Nutzer von DSM 4.0 gibt, sollen diese zumindest auf DSM 4.0-2259 oder höher aktualisieren.
Nutzer, die eine Warnmeldung beim Betreten des DSM-Dashboard sehen, oder einen Prozess namens synosync im Ressourcenmonitor wahrnehmen, sollen ihr NAS direkt abschalten und sich an den Support werden, Synology arbeitet weiterhin an der Behebung des Problems, wir halten euch ebenfalls auf dem Laufenden.
Solltet ihr also Syno-Besitzer im Bekanntenkreis haben, die vielleicht selten aktualisieren – dann sagt denen Bescheid.
Wird geladen ...
@Lux: So kann man natürlich jedes Mal argumentieren. Jede Sicherheitslücke – JEDE – ist eine absichtlich eingebaute Hintertür….. Symptome stehen da nicht, sondern konkrete Informationen zum Exploit im CGI-Modul auf der Unix-Plattform.
@DancingBallmer Sollte sich herrausstellen,dass es effektiv die gleiche Lücke ist, wie bei der Mininggeschichte hat Synology vor Ewigkeiten informiert, via diversen Kanälen. Wenn die Leute immernoch zu träge sind ihr System upzudaten, was wollen sie da noch gross kommunizeren? „Ja ihr Trottel solltet nun ECHT mal updaten“? Ich verstehe deine Kritik, Verbesserungspotential seitens Synology ist da, klar. Man muss halt auch bisschen relativieren, ein Shitstorm bricht aus, bei der momentanen Kenntnisse wegen Leuten mit Versionen mit -bekannten- Sicherheitslücken. Bevor hier vorschnell eine ungenaue Meldung rausgehauen wird darf das ganze auch mal anständig analysiert werden. Hätten sie voreilig was rausgehauen hätten alle gemeckert wie ungenau das Statement sei, warum keine Lösung da ist etc. Man wird nie alle zufriedenstellen können. Ich hatte den Zugriff auf meine Nas auch gekappt, auch wenn die Fakten gegen eine Gefahr für mich sprachen (keine Standart Ports, keine DSM5 dabei etc.). Klar macht so ein Vorfall nervös, aber man sollte die Hose auch locker halten imo. 😀
@ Gabe
Es ist halt wirklich eine schwere Entscheidung, was gebe ich wann und wie heraus. Ich wünsche mir bei solchen Themen eben eine schnellere Kommunikation auf den eigenen Seiten. Wenn man gesicherte Informationen per Mail herausgeben kann, sollte man diese bitte auch zeitnah auf den eigenen Seiten veröffentlichen. Keine Ahnung wie es mit twiter und facebook ausschaute, aber erste Anlaufstelle bei Problemen ist für mich immer noch die Herstellerseite und dann das Supportforum.
Wenn alte Sicherheitslücken so lange offen bleiben ist das auch so eine Sache, da hat Synology aber anscheinend mit DSM 5.0 schon nachgebessert. Die Leute sollten von der NAS per Mail über Updates informiert werden, falls notwendig auch wiederholt nach bestimmten Abständen. Kaum einer loggt sich als Admin regelmäßig in seine funktionierenden NAS ein. Bei meiner Diskstation mit 4.3.10.27 hatte ich vergeblich nach solch einer Funktion gesucht, unter DSM 5.0 soll das jetzt möglich sein. Bei solchen sicherheitsrelevanten Sachen kann man ruhig aggressiver sein, z.B. bei der Erstinstallation und in den Anleitungen explizit auf die Vorteile einer eMail-Benachrichtigung hinweisen. Wer es nicht braucht sollte es deaktivieren können, aber standardmäßig sollten solche Dinge viel öfter aktiviert sein. Da finde ich AVMs Weg mit den optionalen Autoupdates wirklich ncht schlecht, wobei ich das bei einer NAS dann doch problematischer sehe.
Bevor hier der falsche Eindruck entsteht ich würde Synology komplett verteufeln, es ist nicht alles schlecht und im Endeffekt hat man schnell eine Lösung präsentiert. Aber die Sucherei nach Informationen hatte mich schon bei den letzten Sicherheitsproblemen ziemlich genervt.
Moin,
Hinweis für die Nutzer alter Systeme (hab noch eine DS207+ mit latest DSM3.1 als Replikations-Ziel im Einsatz:
—
Dear xxx,
according to our information, DSM 3.x is also not affected to SynoLock issue
Best Regards,
Synology Technical Support
—
Außerdem:
—
according to our developers, OpenSSL in DSM 3.x is not affected to HearBleed issue
—
Gruß derWolle
hallo alle
da bin nu ganz einfach reingerasselt.
DS212, DSM 4.3, genauere Angaben aktuell nicht verfügbar da kein Zugriff auf die DS möglich ist, auch nicht per Assistent. Da wird immer sofort die Seite von dem Erpresser angezeigt.
Sämtliche Dateien sind verschlüsselt und unbrauchbar. Da alles aber noch als Backup vorhanden ist dürfte kein eigentlicher Schaden entstanden sein, mindestens was die Daten angeht.
Frage: kann die DS wiederhergestellt werden (leer und jungfräulich) oder soll man sie besser schrotten und eine neue beschaffen.
Habe mir schon überlegt die beiden Platten extern zu löschen (per Datenschredder) und formatieren. Die DS müsste ja dann die Platten auch wieder5 als „neu“ erkennen und für ihre Zwecke und ihr system formatieren.
durain