Des attaques par force brute chez Synology

Mickaël Bazoge |

Depuis quelques jours, plusieurs utilisateurs de produits Synology constatent des tentatives de connexion intempestives sur leurs NAS, provenant d'un peu partout dans le monde. Dans le détail, comme l'explique notre lecteur Guillaume touché par le problème, les malandrins multiplient les essais pour se connecter à DSM, le système d'exploitation du constructeur. Des témoignages que l'on retrouve sur Reddit (ici et ) ou encore sur Twitter.

Synology a officiellement réagi aujourd'hui, en confirmant une vague d'attaques par force brute. Les chercheurs de l'équipe PSIRT de l'entreprise (équipe d'intervention en cas d'incident concernant la sécurité des produits) pointent du doigt un botnet de la famille StealthWorker.

En revanche, toujours selon le PSIRT, le malware n'exploite aucune vulnérabilité logicielle puisque les attaques tirent profit d'appareils déjà infectés pour « compromettre les informations d'accès administratif courantes dans des systèmes propres ». Quand les attaques sont réussies, le malware installe une charge malveillante et possiblement un rançongiciel. Par ailleurs, ces appareils infectés peuvent lancer des attaques supplémentaires sur d'autres appareils basés sur Linux, à l'instar des NAS de Synology.

Le constructeur travaille actuellement à éteindre les serveurs commande & contrôle (C&C) qui sont responsables du malware, et prévient les utilisateurs potentiellement touchés. Pour le moment, Synology recommande d'activer le blocage automatique et la protection des comptes, il suggère aussi chaudement de mettre en place l'authentification à plusieurs facteurs. On peut suivre les conseils de Syno à cette adresse.

Tags
avatar Lexada | 

On risque qqch si on a un NAS sans contrôle à distance activé ?
(Juste pour time machine et stocker quelques documents)

avatar ThonyF | 

Normalement non, j'avais déjà eu le cas de tentative de connexion sur mon NAS, il y a quelques années et c'est ce que je me suis résolu à faire. Car même après avoir désactivé la possibilité de se connecter depuis l'étranger ça continuait, depuis l'étranger

avatar softjo | 

Une solution pour l'éviter, c'est de changer le port par défaut (qui sont 5000/5001).

avatar MarcMame | 

@softjo

"Une solution pour l'éviter, c'est de changer le port par défaut (qui sont 5000/5001)."

J’y ai pensé et on m’a fait comprendre que c’est un plâtre sur une jambe de bois. Mais pourquoi pas

avatar RonDex | 

@softjo

Voici ce qu’il faut faire pour sécuriser au maximum son NAS

https://www.tech2tech.fr/comment-securiser-votre-nas-synology-en-10-etapes/

avatar Kriskool | 

Ben mince alors si les NAS sont piratés autant rester dans les clouds…

avatar MarcMame | 

@Kriskool

"Ben mince alors si les NAS sont piratés autant rester dans les clouds…"

Dès que tu mets les pieds sur internet, le risque est présent. Peu importe la solution employée.

avatar _Lion04_ | 

@Kriskool

Tout à fait

avatar MarcMame | 

Effectivement j’ai remarqué depuis quelques jours des tentatives d’accès répétées à mon NAS.
2 essais avec la même ip puis l’adresse ip change et on recommence jusqu’à épuisement.

avatar Lexada | 

@MarcMame

Ou est ce qu’on peut vérifier les tentatives de connexion ?

avatar Amaczing | 

@Lexada

"Ou est ce qu’on peut vérifier les tentatives de connexion ?"

Depuis TC

avatar Lexada | 

@Amaczing

Que signifie TC ? Terminal control ? Ça se trouve où ?

Désolé si ma question peut paraître basique mais j’utilise mon NAS une baie de manière assez basique …

avatar Nesus | 

@Lexada

Dans le centre des journaux. Toutes les connexions sont inscrites. Système et à sa droite l’ip qui a tenté ou réussi à ce connecter est marquée

avatar Sindanarie | 

@Amaczing

"Depuis TC"

Ah 🤔
C’est pas « Dans TC » ?

avatar DG33 | 

@Sindanárië

Prière de laisser Tim CUISIN(I)ER tranquillement
😂
Ah au fait je passe mes vacances à MONTCUQ 😅

avatar MarcMame | 

Un didacticiel extrêmement bien foutu pour (vraiment) sécuriser son NAS Syno

https://www.nas-forum.com/forum/topic/54453-tuto-sécuriser-les-accès-à-son-nas/

avatar v1nce29 | 

Comment ils identifient un NAS Syno ?

avatar Sometime | 

@v1nce29

Les ports employés deja, 5000 et 5001. Ensuite la réponse http (la page web) caractéristique.

avatar Nesus | 

Perso, j’ai depuis très longtemps bloqué toutes ou qui ne soit pas France ou Canada. Toutes ip est bannie après 3 tentatives échouées et l’accès est en double authentification.
Avant j’avais pleins d’ip qui essayaient de se connecter. Maintenant, plus rien.

avatar R5555 | 

Pareil, j’ai eu le même problème, un coup de firewall qui bloque les pays étrangers, et plus rien depuis.

avatar Sindanarie | 

@Nesus

"Avant j’avais pleins d’ip qui essayaient de se connecter. Maintenant, plus rien."

La rançon de la gloire, sans doute 🤔

avatar ando | 

Pour information , sur les qnap il y a quelques mois, memes des nas sans port ouverts , et avec la double authentification activée se sont retrouvés crypto lockés donc pas vraiment de solutions, de vrais passoires! Quand c’est pas qnap c’est synology !

avatar AirForceThree | 

@ando

Ton rapprochement QNAP/Synology n'a pas lieu d'être, puisqu'il n'y a pas ici de faille de sécurité sur Synology. Les attaques par force brute, ça arrive sur tous les serveurs connectés à internet, et Synology a toujours fourni les solutions pour s'en prémunir.

avatar MarcMame | 

@ando

"Pour information , sur les qnap il y a quelques mois, memes des nas sans port ouverts , et avec la double authentification activée se sont retrouvés crypto lockés donc pas vraiment de solutions, de vrais passoires! Quand c’est pas qnap c’est synology !"

Aucun rapport entres les 2. Ici il ne s’agit pas de l’exploitation d’une faille.

avatar RampMan | 

En effet je viens de regarder sur les réglages de sécurité de mon NAS, 628 IP bloqué en deux jours……..

avatar Sindanarie | 

@RampMan

Eh ben! On a la folie des grandeurs 😋

avatar RampMan | 

@Sindanárië

Si seulement ; j’ai fait un blocage sur toutes tentatives de connections hors mon IP sur liste blanche. Et la liste ne remonte que sur trois jours…

avatar djgreg13 | 

@RampMan

C'est un enfer moi le fail2ban aussi..

J'ai 632 ip bannies sur mon firewall de tête
Je sais pas combien iptables sait gérer de règles

avatar dscreve | 

Facile à régler : virer l’accès à distance et coller son NAS dans un VPN via un routeur openWRT.

avatar djgreg13 | 

@dscreve

Syno possède le vpn serveur via OpenVPN
Faut vraiment avoir envie de nat son nas en vrai vers dehors

avatar 406 | 

j'ai activé la double authentification avec secure signin et son code tournant de 30 sec alors…
mais oui, je suis attaqué en ce moment sur mon NAS.

avatar Romuald | 

Juste une question : les tentatives se font avec quel user ? admin ? Dans ce cas créer un user admin avec un autre nom et désactiver celui qui s'appelle admin devrait suffire, non ?
idem pour guest, les deux sont désactivés chez moi

avatar RonDex | 

@Romuald

Il faut absolument désactiver le compte admin, Et créer un compte administrateur avec un autre nom. Quasiment toutes les attaques vise le compte avec le nom admin.
Depuis l’interface DSM, panneau de contrôle puis utilisateur et groupe, tu peux facilement dupliquer ton compte admin. Nomme-le autrement. Puis désactive ton compte admin.

Tu peux jeter un coup d’œil ici (il y a une petite vidéo, et une synthèse de tout ce que tu dois faire pour protéger ton NAS)

https://www.tech2tech.fr/comment-securiser-votre-nas-synology-en-10-etapes/

Pour un article un peu plus détaillé :

https://www.tech2tech.fr/comment-securiser-votre-nas-synology-en-10-etapes/

avatar julien94800 | 

Ah ça me rassure y’a pas que moi. Depuis quelques jours c’est l’enfer tous les jours avec des tentatives de connection. Je bloque les pays au fur et à mesure et ça change à chaque fois. Il essaye de se connecter sur le compte admin (qui est pourtant désactivé chez moi). Difficile à gérer à distance car pas envie de perdre l’accès pendant les vacances

avatar RonDex | 

@julien94800

Il faut absolument que tu sécurises ton NAS. Cf. mon commentaire juste au-dessus.

avatar julien94800 | 

@RonDex

Yes merci je vais regarder. Déjà fait pas mal de choses pourtant mais faut croire que pas assez. Après je me dit, comme le compte admin est désactivé, normalement je suis tranquille. Mais bon j’aime pas voir toutes les tentatives dans les logs….

avatar RonDex | 

@julien94800

Désactiver le compte admin, c’est déjà le point numéro un. Mais ce n’est pas suffisant. Il faut correctement configurer le pare-feu, modifier les ports par défauts, désactiver le terminal, utiliser le conseiller de sécurité, etc.. Et si on ne regarde pas des tutoriels sur Internet, on se rend compte qu’on a fait des erreurs. Il y a aussi l’aide intégrée au DSM.

avatar julien94800 | 

@RonDex
Merci
Bon au final j’avais déjà quasi tout bon, j’ai juste ajouté dans le firewall la condition que depuis la France. Par contre je me rends compte aussi que le vpn (OpenVPN) ne fonctionne pas si le firewall est activé. Dans le firewall j’ai une règle pour le vpn donc je me connecte nickel, par contre quand j’essaye d’accéder au nas je suis bloqué. Une idée par hasard stp?
Merci d’avance

avatar manustyle | 

C'est ou que vous voyez les tentatives de connection au NAS ? je ne trouve pas. merci.

avatar julien94800 | 

@manustyle

De mon côté je reçois des mails quand un compte est bloqué (2 tentatives de connection ratées). Sinon dans panneau de configuration, sécurité, comptes. Et la tu as accès à la liste des comptes bloqués

avatar MarcMame | 

@manustyle

"C'est ou que vous voyez les tentatives de connection au NAS ? je ne trouve pas. merci."
—-
Installe le paquet « centre des journaux »

avatar RonDex | 

@manustyle

Si tu as correctement configuré les notifications, tu dois recevoir un mail en cas de connexion bloqué ou suspect (appareils, IP, etc. inhabituels).

avatar manustyle | 

je ne reçois rien du tout. Apparement personne n'essaie de s'y connecter.

avatar Bandit | 

Bonjour, pour ma part je me suis fait pirater hier après midi. Il m'a implanté un "virus" et a crypté tout mon disque. Tout les fichiers ont une extension .0xxx
Une rançon est demandé si je veux les récupérer ( ce que je ferai pas ) de 300$en Bitcoin... Dégoûtée

avatar Lightman | 

@Bandit

Je compatis. Sur un Synology ?
En respectant les quelques conseils de ce fil ou pas ?

CONNEXION UTILISATEUR