Άλλη μια ‛επίθεση’ στοχεύει Synology

[tmjuju]

Άλλη μια ‛επίθεση’ στοχεύει Synology


http://forum.synology.com/enu/viewtopic.php?f=3&t=88716


Χμμμ… δεύτερη φορά που κυκλοφορεί επικίνδυνο παράσιτο στο νετ για τα Synology
Είχαμε δει ένα παράσιτο που έσκαβε για Bitcoins καταναλώνοντας ρεύμα και cpu –power

Τώρα βλέπουμε κάτι πιο επιθετικό
Μέσω αδιευκρίνιστης προς το παρόν αδυναμίας, το παράσιτο εγκαθιστάτε στο NAS και κρυπτογραφεί με πολύ ισχυρό αλγόριθμο όλα τα δεδομένα.
Οι εκβιαστές στην συνέχεια απατούν την πληρωμή μεγάλου ποσού για να σου δώσουν τα κλειδιά για αποκρυπτογράφηση … κρατώντας ως όμηρο τα κρυπτογραφημένα σας αρχεία.

Προσοχή άρα και κατάλληλα μέτρα όπως
απενεργοποίηση του internet management&sharing άμεσα
πολύ προσοχή και από το τοπικό δίκτυο να μην υπάρχουν συσκευές που μπορεί να είναι μολυσμένες και να αφήνουν κερκόπορτες στο δίκτυο σας.

Υπάρχει πιθανότητα να επηρεάζει και την Opensource έκδοση XPEnology

 

[tmjuju]

http://www.theregister.co.uk/2014/0...f_security_first_in_wake_of_synology_attacks/
Καλά τα λέει αυτός εδώ
Εάν διαβάζετε αυτές τις γραμμές καλύτερα , σταματήστε το διάβασμα και τρεχάτε να κλείσετε το NAS σας …


Η υποστήριξη τους και η ομάδα αντιμετώπισης κρίσεων τους είναι τουλάχιστον αστεία κατά την άποψη μου.
Επίσημη αναγνώριση του σφάλματος βλέπω ακόμα δεν υπάρχει:
http://www.synology.com/en-global/support/security

Οι χθεσινές ανεπίσημες οδηγίες ήταν
To prevent your NAS from becoming infected:
A. Close all open ports for external access as soon as possible, and/or unplug your Disk/RackStation from your router
B. Update DSM to the latest version
C. Backup your data as soon as possible
D. Synology will provide further information as soon as it is available.
If your NAS has been infected:
A. Do not trust/ignore any email from unauthorized/non-genuine Synology email. Synology email always has the “synology.com” address suffix.
B. Do a hard shutdown of your Disk/RackStation to prevent any further issues. This entails a long-press of your unit’s power button, until a long beep has been heard. The unit will shut itself down safely from that point.
C. Contact Synology Support as soon as possible, here.

Το παραπάνω έχει εξόφθαλμα σφάλματα τύπου
Synology email always has the “synology.com” address suffix.
Λες και δεν μπορεί να γίνει spoofed το from:/sender

Πoτε μην εμπιστευτείτε ένα mail απλά από το from/sender field!

 

[FragoulisNaval]

Το θέμα είναι αρκετά σοβαρό. Μήπως να γινόταν κατι σαν sticky ?

 

[Λάκης]

και τι να κανουμε Τασουλη μου για να προστατευθουμε;

 

[SR-71]

 

[tmjuju]

[Update: 5/8/2014]

Hello Everyone,

We’d like to provide a brief update regarding the recent ransomware called “SynoLocker,” which is currently affecting certain Synology NAS servers.

Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. At present, we have not observed this vulnerability in DSM 5.0.

For Synology NAS servers running DSM 4.3-3810 or earlier, and if users encounter any of the below symptoms, we recommend they shut down their system and contact our technical support team here: https://myds.synology.com/support/support_form.php.

-When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
-A process called “synosync” is running in Resource Monitor.
-DSM 4.3-3810 or earlier is installed, but the system says the latest version is installed at Control Panel > DSM Update.

For users who have not encountered any of the symptoms stated above, we highly recommend downloading and installing DSM 5.0, or any version below:
-For DSM 4.3, please install DSM 4.3-3827 or later
-For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
-For DSM 4.0, please install DSM 4.0-2259 or later

DSM can be updated by going to Control Panel > DSM Update. Users can also manually download and install the latest version from our Download Center here: http://www.synology.com/support/download.

If users notice any strange behavior or suspect their Synology NAS server has been affected by the above issue, we encourage them to contact us at [email protected].

Apologies for any problems or inconvenience caused. We will keep you updated with latest information as we address this issue.

http://forum.synology.com/enu/viewtopic.php?f=108&t=88770

Εδώ βλέπω να έχουν ανεβάσει καλύτερες οδηγίες και χρήστες να προσθέτουν πληροφορίες και σχόλια.

 

[SpyrosKoutsogiannis]

Πάντως για μία ακόμα φορά αποδεικνύεται η αξία του off line backup (εκτός σύνδεσης δηλαδή με δίκτυο). Για παράδειγμα εξωτερικός σκληρός δίσκος. Αν έχεις κρίσιμα δεδομένα (και πλέον νομίζω ότι όλοι έχουν έστω και λίγα, πχ οι φωτογραφίες από την ψηφιακή μηχανή τους που δεν αντικαθίστανται με τίποτα) πρέπει να έχεις και τέτοια μέσα για backup έστω ανά κάποιο διάστημα (πχ τρίμηνο ή εξάμηνο).

 

[avpap]

Καπου πεταχτα διαβασα οτι το vulnerability που εκμεταλλευονται ειναι στο vpn. Επιβεβαιωνει καποιος οτι το διαβασε αυτο; Αυτο μηπως σημαινει οτι αν κανουμε uninstall το package ειμαστε ασφαλεις;
Επισης, με 2-factor authentication σωζομαστε;

Το καλο τουλαχιστον ειναι οτι ολες οι εκδοσες απο 4 και μετα εχουν μια "ασφαλη" εκδοση που μπορουμε να παμε.

 

[auteur]

Synology Continues to Encourage Users to Update

Thank you for your patience as we continue to investigate the ransomware "SynoLocker" which is currently affecting certain Synology NAS users.

We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. We HIGHLY encourage our users to update their DSM.

Furthermore, to prevent spread of the issue we have only enabled QuickConnect and Synology DDNS service to secure versions of DSM.

Please take a look at our official statement with more information here: http://bit.ly/1oypNfE

We sincerely apologize for any problems or inconvenience this issue has caused our users. We will keep you updated with the latest information as we continue to address this issue.

απο οτι λενε, δεν επηρεαζει την τελευταια εκδοση του DSM.
How to secure your Synology NAS server on the Internet

Shields up (τεστ για το δικτυο σας)

 

[tmjuju]

Η θεωρία που βγαίνει ως τώρα (πιστείρια / logs κατά την διάρκεια επίθεσης δεν έχουμε δει) είναι ότι επηρεάζονται όσοι δεν είχαν κάνει update από το Δεκέμβριο.
Η σχετική αδυναμία φαίνεται να ήταν αυτή:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6987
http://seclists.org/fulldisclosure/2013/Dec/177
directory traversal , πολύ εύκολο να χρησιμοποιηθεί.

Σήμερα υπάρχει και ανακοίνωση στα Νέα της Synology
http://www.synology.com/en-us/company/news/article/470

Αυτό που λέμε συνέχεια:
Το raid δεν είναι backup , ισχύει
Τα αγαθά του offline backup τα έχουμε ξανασυζητήσει
Καθώς και του άμεσου update όταν υπάρχουν patches από τον κατασκευαστή, είτε είναι windows, ή iphone ή android ή NAS, πάντα πρέπει να ενημερώνουμε τα συστήματα μας.

Στην συγκεκριμένη περίπτωση καλό θα είναι ο χρήστης να επιβεβαιώσει την έκδοση που έχει. Και αυτό γιατί το παράσιτο, όταν μολύνει το σύστημα το πρώτο πράγμα που κάνει είναι να μπλοκάρει τις αυτόματες ενημερώσεις. Ξεγελώντας το χρήστη ότι έχει την τελευταία και καλά έκδοση.
Γενικά οι οδηγίες που έχει δώσει η Synology είναι πια καλύτερου επιπέδου από ότι αρχικά.

 

[Λάκης]

και πως ξερουμε,αν μας ξεγελα,για την εκδοση που εχουμε;

 

[auteur]

Re: Απάντηση: Άλλη μια ‛επίθεση’ στοχεύει Synology

και πως ξερουμε,αν μας ξεγελα,για την εκδοση που εχουμε;

http://www.synology.com/en-global/support/download

 

[Λάκης]

με μπερδεψες περισσοτερο τωρα.
Εννοεις κατεβαζουμε και κανουμε εγκατασταση χειροκινητα και οχι αυτοματα,οταν μας το ζητησει το ΝΑΣ;

 

[sstavross]

Αυτό που λέμε συνέχεια:
Το raid δεν είναι backup , ισχύει
Τα αγαθά του offline backup τα έχουμε ξανασυζητήσει

Λιγο off topic αλλα επειδη ειμαι καινουργιος στο "αθλημα" και σκεφτομαι να παρω εναν hp microserver, τι εννοεις οτι το "raid δεν είναι backup" Δηλαδη, θελω να πω, απο τα λιγα που εχω διαβασει, αν εχω Raid1 ή raid6 (δεν μιλαω για raid5) αυτο δεν ειναι back up? Γιατι "βαριεμαι" καθε φορα που αλλαζω κατι στα αρχεια μου (και το κανω συχνα), να βαζω εναν εξωτερικο σκληρο και να αντιγραφω...

 

[auteur]

Re: Απάντηση: Άλλη μια ‛επίθεση’ στοχεύει Synology

με μπερδεψες περισσοτερο τωρα.
Εννοεις κατεβαζουμε και κανουμε εγκατασταση χειροκινητα και οχι αυτοματα,οταν μας το ζητησει το ΝΑΣ;

δεν εχει σημασια πως θα κανεις το update.. αρκει να εχεις την τελευταια ενημερωση του DSM.
βεβαιωσου απο το official site της synology ποια ειναι η τελευταια εκδοση.

 

[tmjuju]

Λιγο off topic αλλα επειδη ειμαι καινουργιος στο "αθλημα" και σκεφτομαι να παρω εναν hp microserver, τι εννοεις οτι το "raid δεν είναι backup" Δηλαδη, θελω να πω, απο τα λιγα που εχω διαβασει, αν εχω Raid1 ή raid6 (δεν μιλαω για raid5) αυτο δεν ειναι back up? Γιατι "βαριεμαι" καθε φορα που αλλαζω κατι στα αρχεια μου (και το κανω συχνα), να βαζω εναν εξωτερικο σκληρο και να αντιγραφω...

Υπάρχουν πολλά πράγματα που μπορούν να συμβούν σε ένα RAID
Περάν του να σκάσει ένας δίσκος, υπάρχουν πολλοί ακόμα κίνδυνοι
Λ.χ να σκάσει και δεύτερος δίσκος ταυτόχρονα
Αλλά αν το δούμε πιο σφαιρικά οι κίνδυνοι είναι πολλοί περισσότεροι: σκέψου φυσικές καταστροφές, κεραυνούς και καταιγίδες, πλημύρες, φωτιές. Σκέψου επίσης την κλοπή, την καταστροφή – σπάσιμο και ένα κάρο αλλά πράγματα. Και φυσικά τον μεγάλο κίνδυνο του κακού χειρισμού, κατά λάθος διαγραφή αρχείων, κατά λάθος τροποποίηση αρχείων, κάποιο software που κατά λάθος καταστρέφει δεδομένα κ.ο.κ.

Στην προκειμένη περίπτωση , κάποιοι την πάτησαν από το κακόβουλο αυτό λογισμικό και θα πληρώνουν Bitcoins σε απατεώνες…
Αν είχαν backup, σε λίγες ώρες, θα είχαν τα αρχεία τους πίσω.

Κανείς δεν μπορεί να είναι ήσυχος ότι δεν θα χάσει τα δεδομένα του εάν τα έχει μόνο σε ένα δίσκο ή μόνο σε ένα RAID.
Πάντα πρέπει να έχουμε ένα backup. Ιδανικά και σε άλλο σπίτι / σε κάποιο εξοχικό / σε κάποιο φίλο.

 

[soch]

...Γιατι "βαριεμαι" καθε φορα που αλλαζω κατι στα αρχεια μου (και το κανω συχνα), να βαζω εναν εξωτερικο σκληρο και να αντιγραφω...

Δεν κάνεις κάτι χειροκίνητα, ρυθμίζεις το synology να παίρνει backup σε εξωτερικό δίσκο κάθε όποτε κρίνεις σκόπιμο (κάθε μέρα, βδομάδα κ.λπ.) και καθάρισες.

 

[Δημήτρης Δημητρακούδης]

Πριν λίγο μου ήρθε email από Synology.

Βγήκε Update 5 για το DSM 5.0-4493, το οποίο φαίνεται να μπαλώνει νέα τρύπα:

Fixed Issues
Fixed a vulnerability that could allow servers to accept unauthorized access.

Πάω να το βάλω..

 

[Λάκης]

Απάντηση: Re: Άλλη μια ‛επίθεση’ στοχεύει Synology

Πάω να το βάλω..

στη τρυπα...;

 

[auteur]

Πριν λίγο μου ήρθε email από Synology.

Βγήκε Update 5 για το DSM 5.0-4493, το οποίο φαίνεται να μπαλώνει νέα τρύπα:

Fixed Issues
Fixed a vulnerability that could allow servers to accept unauthorized access.

Πάω να το βάλω..

το περασα χθες..

εκανα ομως ενα brute shutdown γιατι μετα το reboοt απο το update δεν το εβλεπε ο synology assistant.
μετα το brute shutdown ολα μια χαρα.

ελπιζω...

Δημητρη εχεις καθε δισκο μονο του (basic)?
περασες μηπως και logitech server?

ειδα βαλανε και επιλογη region στο firewall oπου επιλεγεις την χωρα σου για να αποτρεπει ολες τις αλλες ip να βλεπουν το nas.
δεν ξερω κατα ποσο ειναι καλο, αλλα ειναι ακομα ενα μετρο ασφαλειας.
Με εναν proxy που δινει ελληνικες ip παντως, μπορουνε να το προσπερασουν ανετα.