SynoLocker : des NAS Synology pris en otage
Depuis quelques jours, des possesseurs de NAS Synology font état d'un piratage de leur appareil. En se connectant à l'interface d'administration de leur NAS, des utilisateurs font face à un message qui indique que les données sont chiffrées par un logiciel malveillant baptisé SynoLocker. Pour obtenir la clé de chiffrement et accéder ainsi de nouveau à ses fichiers, SynoLocker demande de l'argent (0,6 Bitcoins, soit environ 260 €).
Le vecteur de l'attaque est pour l'instant inconnu et Synology n'a pas communiqué publiquement sur le sujet. Sur le forum du fabricant, un utilisateur dit avoir reçu un email de Synology qui est au courant du problème et lui a donné une solution de secours. Il faut installer le système d'exploitation DSM sur un disque vierge puis migrer toutes ses données. La marche à suivre est détaillée ici.
Par mesure de précaution, mieux vaut désactiver certaines fonctions réseau et fermer quelques ports sensibles. Les témoignages viennent a priori exclusivement de personnes équipées de DSM 4.3, mais sans communiqué de Synology, on ne sait pas si la version 5.0, qui a récemment reçu une mise à jour de sécurité, est immunisée.
J'ai la dernière mise à jour disponible et je ne suis pas concerné par ce problème. Bien sur je ne sais pas si on à essayé de m'attaquer ... Bonne chance à ceux qui sont touchés.
Comment dans ce cas affirmer "je ne suis pas concerné par ce problème" ???
Tu as activé le bann~ip ?
J'espère que Qnap va vérifier de son côté que tout est OK....
Il vaut mieux faire un isolement préventif de son Nas Syno le temps que l'affaire ne retombe.
C'est un peu honteux pour synology cette histoire!!
Je vois pas en quoi c'est honteux; l'immense majorité des problèmes de sécurité des appareils connectés provient de la béatitude des utilisateurs (entre les mots de passe qui n'en sont pas, les clics sans trop réfléchir, les DL de fichiers douteux et l'installation de paquets dont on ne sait pas d'où ils viennent, etc...). Il ne faut pas s'étonner lorsqu'on voit que le pishing fonctionne toujours, au même titre que les arnaques du riche héritier africain qui circulent par email et j'en passe.
L'Homme EST le point faible.
Pour revenir à Synology, je pense au contraire que c'est une entreprise particulièrement réactive et qui prend au sérieux les menaces afin de proposer rapidement une réponse logicielle. En outre, leur service d'assistance a excellente réputation.
Donc en finalité, si à chaque fois que des malins trouvent une faille pour faire cracher quelques utilsateurs peu regardants il fallait crier au scandale sur le fabricant, on ne ferait que cela.
Je n'ai pas eu le problème. Je suis sur dsm 5.0
Nouvelle forme de piraterie.
Comme quoi un NAS perso ne protège pas fondamentalement mieux qu'un cloud vendu par dropbox ou autre. La seule différence est qu'en cas de faiblesse de la sécurité on sait à qui s'en prendre... soit même :)
Le Syno que nous avons au bureau est attaqué constamment, avec une vingtaine d'adresses IP bannies tous les jours… je crois que s'il y a une chose à faire, c'est clairement d'activer la mise en liste noire des adresses IP qui tentent de se connecter plusieurs fois sans succès.
RAS pour ma part sous DSM 5, en attendant je l'ai quand même isolé du réseau.
RAS sous DSM 5.0.
Avoir un NAS chez soi c'est bien, ça permet d'avoir son propre cloud, mais du coup vous ne pouvez pas sous-traiter la sécurité de vos données!
Utilisez toujours du HTTPS. Là où vous ne pouvez pas vous en servir, vous ne devriez peut-être pas vous connecter!
Préférez une connexion à un utilisateur autre qu' Admin.
Utilisez un mot de passe fort.
Attention cependant à activer le bannissement des IP qui tentent de se connecter trop souvent.
Sauvegardez!
Attention MacG, dans votre article vous stipulez que les données sont récupérables avec une procédure donnée par Synology. C'est faux, la procédure permet simplement de réinstaller DSM sans toucher aux données installées sur les disques. Les partitions de donnés sont chiffrées, et donc irrécupérables sans la clé de chiffrement utilisée.
Seul les DSM 4.xx sont touchés pas les 5.xx :)
@chandler74
Effectivement, l'homme est et restera le principal maillon faible de la chaine de sécurité. C'est pour ça que le "social hacking" est très en vogue et a de beaux jours devant lui.
Très prudent mais j'isole du réseau en attendant
A priori une mise à jour est prête à ce sujet :
extrait du changelog :
Fixed two SAMBA vulnerabilities which allowed remote attackers to use the weaknesses to perform DoS attacks (CVE-2014-0244, CVE-2014-3493).
Voilà pourquoi mon Nas n'est pas directement sur internet.
Je passe par mon VPN privé pour m'y connecter
c'est cho ça
Je pense que c'est lié, semaine dernière j'ai reçu un email de Synology qui conseillait grandement d'installer la dernière MaJ de DSM 4.3. J'avais trouvé ça un peu surprenant de leur part, n'étant pas au courant de cette attaque. Le mien est sous DSM 5.0, donc pas concerné à priori (au moins pour le moment).
A lire certains, DSM 5 n'est pas touché. Donc je fais la mise à jour.
Oups. Je suis encore en 4.2 :-)
Bah vi. Pour ce que je fais, ça tourne bien.
J'ai dû faire 2 mises à jour. On peut pas sauter direct.
Et j'ai aussi débranché du réseau en attendant quelques jours. Tant qu'à faire.
Les boules, surtout que j'ai tout dessus. Et suis fortiche pour régler ces histoires de ports, si vous pouviez mettre un tuto.
Moi aussi, j'ai des dizaines d'adresses bloquées. Seul SSH est exposé. C'est marrant, ces connections proviennent presque exclusivement de Chine...
C'est ou qu'on voit les connections qui se font sur le NAS ? trouve pas.
Dans DSM 5.0, elles apparaissent dans les notifications (icône en haut à droite) pour peu que le blocage des IPs soit activé.
Si tu veux bloquer les ports/ip, comme recommandé, un tuto est dispo ici :
http://www.logitheque.com/articles/synolocker_comment_bloquer_les_ports_de_son_nas_synology_689.htm