Des attaques par force brute chez Synology
Depuis quelques jours, plusieurs utilisateurs de produits Synology constatent des tentatives de connexion intempestives sur leurs NAS, provenant d'un peu partout dans le monde. Dans le détail, comme l'explique notre lecteur Guillaume touché par le problème, les malandrins multiplient les essais pour se connecter à DSM, le système d'exploitation du constructeur. Des témoignages que l'on retrouve sur Reddit (ici et là) ou encore sur Twitter.
Synology a officiellement réagi aujourd'hui, en confirmant une vague d'attaques par force brute. Les chercheurs de l'équipe PSIRT de l'entreprise (équipe d'intervention en cas d'incident concernant la sécurité des produits) pointent du doigt un botnet de la famille StealthWorker.
En revanche, toujours selon le PSIRT, le malware n'exploite aucune vulnérabilité logicielle puisque les attaques tirent profit d'appareils déjà infectés pour « compromettre les informations d'accès administratif courantes dans des systèmes propres ». Quand les attaques sont réussies, le malware installe une charge malveillante et possiblement un rançongiciel. Par ailleurs, ces appareils infectés peuvent lancer des attaques supplémentaires sur d'autres appareils basés sur Linux, à l'instar des NAS de Synology.
Le constructeur travaille actuellement à éteindre les serveurs commande & contrôle (C&C) qui sont responsables du malware, et prévient les utilisateurs potentiellement touchés. Pour le moment, Synology recommande d'activer le blocage automatique et la protection des comptes, il suggère aussi chaudement de mettre en place l'authentification à plusieurs facteurs. On peut suivre les conseils de Syno à cette adresse.
On risque qqch si on a un NAS sans contrôle à distance activé ?
(Juste pour time machine et stocker quelques documents)
Normalement non, j'avais déjà eu le cas de tentative de connexion sur mon NAS, il y a quelques années et c'est ce que je me suis résolu à faire. Car même après avoir désactivé la possibilité de se connecter depuis l'étranger ça continuait, depuis l'étranger
Une solution pour l'éviter, c'est de changer le port par défaut (qui sont 5000/5001).
@softjo
"Une solution pour l'éviter, c'est de changer le port par défaut (qui sont 5000/5001)."
J’y ai pensé et on m’a fait comprendre que c’est un plâtre sur une jambe de bois. Mais pourquoi pas
@softjo
Voici ce qu’il faut faire pour sécuriser au maximum son NAS
https://www.tech2tech.fr/comment-securiser-votre-nas-synology-en-10-etapes/
Ben mince alors si les NAS sont piratés autant rester dans les clouds…
@Kriskool
"Ben mince alors si les NAS sont piratés autant rester dans les clouds…"
Dès que tu mets les pieds sur internet, le risque est présent. Peu importe la solution employée.
@Kriskool
Tout à fait
Effectivement j’ai remarqué depuis quelques jours des tentatives d’accès répétées à mon NAS.
2 essais avec la même ip puis l’adresse ip change et on recommence jusqu’à épuisement.
@MarcMame
Ou est ce qu’on peut vérifier les tentatives de connexion ?
@Lexada
"Ou est ce qu’on peut vérifier les tentatives de connexion ?"
Depuis TC
@Amaczing
Que signifie TC ? Terminal control ? Ça se trouve où ?
Désolé si ma question peut paraître basique mais j’utilise mon NAS une baie de manière assez basique …
@Lexada
Dans le centre des journaux. Toutes les connexions sont inscrites. Système et à sa droite l’ip qui a tenté ou réussi à ce connecter est marquée
@Amaczing
"Depuis TC"
Ah 🤔
C’est pas « Dans TC » ?
@Sindanárië
Prière de laisser Tim CUISIN(I)ER tranquillement
😂
Ah au fait je passe mes vacances à MONTCUQ 😅
Un didacticiel extrêmement bien foutu pour (vraiment) sécuriser son NAS Syno
https://www.nas-forum.com/forum/topic/54453-tuto-sécuriser-les-accès-à-son-nas/
Comment ils identifient un NAS Syno ?
@v1nce29
Les ports employés deja, 5000 et 5001. Ensuite la réponse http (la page web) caractéristique.
Perso, j’ai depuis très longtemps bloqué toutes ou qui ne soit pas France ou Canada. Toutes ip est bannie après 3 tentatives échouées et l’accès est en double authentification.
Avant j’avais pleins d’ip qui essayaient de se connecter. Maintenant, plus rien.
Pareil, j’ai eu le même problème, un coup de firewall qui bloque les pays étrangers, et plus rien depuis.
@Nesus
"Avant j’avais pleins d’ip qui essayaient de se connecter. Maintenant, plus rien."
La rançon de la gloire, sans doute 🤔
Pour information , sur les qnap il y a quelques mois, memes des nas sans port ouverts , et avec la double authentification activée se sont retrouvés crypto lockés donc pas vraiment de solutions, de vrais passoires! Quand c’est pas qnap c’est synology !
@ando
Ton rapprochement QNAP/Synology n'a pas lieu d'être, puisqu'il n'y a pas ici de faille de sécurité sur Synology. Les attaques par force brute, ça arrive sur tous les serveurs connectés à internet, et Synology a toujours fourni les solutions pour s'en prémunir.
@ando
"Pour information , sur les qnap il y a quelques mois, memes des nas sans port ouverts , et avec la double authentification activée se sont retrouvés crypto lockés donc pas vraiment de solutions, de vrais passoires! Quand c’est pas qnap c’est synology !"
Aucun rapport entres les 2. Ici il ne s’agit pas de l’exploitation d’une faille.
En effet je viens de regarder sur les réglages de sécurité de mon NAS, 628 IP bloqué en deux jours……..
@RampMan
Eh ben! On a la folie des grandeurs 😋
@Sindanárië
Si seulement ; j’ai fait un blocage sur toutes tentatives de connections hors mon IP sur liste blanche. Et la liste ne remonte que sur trois jours…
@RampMan
C'est un enfer moi le fail2ban aussi..
J'ai 632 ip bannies sur mon firewall de tête
Je sais pas combien iptables sait gérer de règles
Facile à régler : virer l’accès à distance et coller son NAS dans un VPN via un routeur openWRT.
@dscreve
Syno possède le vpn serveur via OpenVPN
Faut vraiment avoir envie de nat son nas en vrai vers dehors
j'ai activé la double authentification avec secure signin et son code tournant de 30 sec alors…
mais oui, je suis attaqué en ce moment sur mon NAS.
Juste une question : les tentatives se font avec quel user ? admin ? Dans ce cas créer un user admin avec un autre nom et désactiver celui qui s'appelle admin devrait suffire, non ?
idem pour guest, les deux sont désactivés chez moi
@Romuald
Il faut absolument désactiver le compte admin, Et créer un compte administrateur avec un autre nom. Quasiment toutes les attaques vise le compte avec le nom admin.
Depuis l’interface DSM, panneau de contrôle puis utilisateur et groupe, tu peux facilement dupliquer ton compte admin. Nomme-le autrement. Puis désactive ton compte admin.
Tu peux jeter un coup d’œil ici (il y a une petite vidéo, et une synthèse de tout ce que tu dois faire pour protéger ton NAS)
https://www.tech2tech.fr/comment-securiser-votre-nas-synology-en-10-etapes/
Pour un article un peu plus détaillé :
https://www.tech2tech.fr/comment-securiser-votre-nas-synology-en-10-etapes/
Ah ça me rassure y’a pas que moi. Depuis quelques jours c’est l’enfer tous les jours avec des tentatives de connection. Je bloque les pays au fur et à mesure et ça change à chaque fois. Il essaye de se connecter sur le compte admin (qui est pourtant désactivé chez moi). Difficile à gérer à distance car pas envie de perdre l’accès pendant les vacances
@julien94800
Il faut absolument que tu sécurises ton NAS. Cf. mon commentaire juste au-dessus.
@RonDex
Yes merci je vais regarder. Déjà fait pas mal de choses pourtant mais faut croire que pas assez. Après je me dit, comme le compte admin est désactivé, normalement je suis tranquille. Mais bon j’aime pas voir toutes les tentatives dans les logs….
@julien94800
Désactiver le compte admin, c’est déjà le point numéro un. Mais ce n’est pas suffisant. Il faut correctement configurer le pare-feu, modifier les ports par défauts, désactiver le terminal, utiliser le conseiller de sécurité, etc.. Et si on ne regarde pas des tutoriels sur Internet, on se rend compte qu’on a fait des erreurs. Il y a aussi l’aide intégrée au DSM.
@RonDex
Merci
Bon au final j’avais déjà quasi tout bon, j’ai juste ajouté dans le firewall la condition que depuis la France. Par contre je me rends compte aussi que le vpn (OpenVPN) ne fonctionne pas si le firewall est activé. Dans le firewall j’ai une règle pour le vpn donc je me connecte nickel, par contre quand j’essaye d’accéder au nas je suis bloqué. Une idée par hasard stp?
Merci d’avance
C'est ou que vous voyez les tentatives de connection au NAS ? je ne trouve pas. merci.
@manustyle
De mon côté je reçois des mails quand un compte est bloqué (2 tentatives de connection ratées). Sinon dans panneau de configuration, sécurité, comptes. Et la tu as accès à la liste des comptes bloqués
@manustyle
"C'est ou que vous voyez les tentatives de connection au NAS ? je ne trouve pas. merci."
—-
Installe le paquet « centre des journaux »
@manustyle
Si tu as correctement configuré les notifications, tu dois recevoir un mail en cas de connexion bloqué ou suspect (appareils, IP, etc. inhabituels).
je ne reçois rien du tout. Apparement personne n'essaie de s'y connecter.
Bonjour, pour ma part je me suis fait pirater hier après midi. Il m'a implanté un "virus" et a crypté tout mon disque. Tout les fichiers ont une extension .0xxx
Une rançon est demandé si je veux les récupérer ( ce que je ferai pas ) de 300$en Bitcoin... Dégoûtée
@Bandit
Je compatis. Sur un Synology ?
En respectant les quelques conseils de ce fil ou pas ?