Synology Disk Station Manager kwetsbaarheid

Synology NAS’en massaal gehackt: DSM dringend upgraden

6
Synology NAS-servers bevatten een ernstig beveiligingslek waardoor hackers er vrij toegang toe krijgen. Upgraden naar de nieuwste versie van Disk Station Manager (DSM) vóór jouw NAS gehackt is, is het enige wat helpt. Is jouw NAS van Synology al gehackt dan helpt alleen een volledige reset en herinstallatie van DSM.

Gedraagt jouw Synology NAS zich raar? Reageert de NAS plots traag? Gaat het CPU-verbruik onverklaarbaar de hoogte in? Werken bepaalde apps niet meer helemaal correct? Of kun je nadat je je NAS opnieuw gestart hebt niet meer inloggen op DSM? Dan is jouw NAS wellicht het slachtoffer van een hacker die een beveiligingslek in Synology Disk Manager (DSM) uitbuit.

Een groeiend aantal gebruikers lijkt het slachtoffer te worden van deze hack, hoewel Synology er tot nu toe niet veel ruchtbaarheid aan geeft. Toch is het lek al van in februari bekend. En in Duitsland werd nog vroeger al door heiseSecurity gemeld dat hackers Synology NAS’en misbruikten als Bitcoin-Miners door wellicht van dezelfde lek gebruik te maken.

Als jouw Synology NAS momenteel nog normaal werkt, probeer dan nu DMS bij te werken door in de webinterface het Configuratiescherm te openen, de optie DSM bijwerken te kiezen en de instructies te volgen.

– DiskStations en RackStations die DSM 4.3 draaien moeten versie 4.3.3827 of later installeren.

– DiskStations en RackStations die DSM 4.0 draaien moeten versie 4.0-2259 of later installeren.

– DiskStations en RackStations die DSM 4.1 of 4.2 draaien moeten versie 4.2-3243 of later installeren.

Lukt dit niet meer, dan is je NAS wellicht gehackt. Wil je dit zeker weten dan kun je eventueel via de opdrachtregel nakijken of hackers toegang hebben tot de NAS. Als er in de root-directory een folder staat met de naam PWNED heb je het zitten.

Synology dsm hack
De PWNED folder hoort daar niet thuis! (Ja, ook een van onze Synology NAS’en is gehackt…)

Andere mogelijke symptomen zijn rare bestandsnamen in de folder /usr/syno/synoman of rare script-bestanden in de folder /usr/syno/etc/rc.d. Als je niet weet hoe je de opdrachtregel opent, kun je deze stap achterwege laten. Als je DSM niet kunt updaten via de webinterface, is dat sowieso niet normaal en mag je ervan uitgaan dat er iets mis is.

Heb je je NAS herstart en kun je niet meer inloggen op DSM dan weet je ook hoe laat het is. Wellicht knippert dan ook het blauw stroomlampje op de voorkant van de NAS. Je zult DSM dan via een omweg moeten herinstalleren. Je zult de juiste update (zie de lijst hierboven) dan manueel moeten downloaden van het Synology Download Center. Synology heeft daarvoor instructies in zijn forum geplaatst. Maar als je ergens een boodschap ziet dat er gegevens gewist zullen worden, mag je deze instructies niet uitvoeren en moet je Synology support contacteren.

Synology dsm gehackt
Eens gehackt en herstart, kun je niet meer inloggen op DSM en krijg je deze foutmelding…

We zullen onze eigen gehackte NAS nu proberen te herstellen aan de hand van de Synology-instructies. Mochten daar nog problemen bij optreden, dan zullen we dit artikel aanvullen. (Tussen haakjes: wij hebben een volledige back-up van al onze data op een tweede Synology NAS die gelukkig niet gehackt was. Maar helaas zullen niet alle gebruikers die luxe hebben mocht er tijdens het upgraden iets misgaan…)

Nog een tip: heb je niet de tijd om DSM direct te vernieuwen en vermoed je dat ook jouw Synology NAS gehackt is trek dan voorlopig de netwerkkabel uit totdat je wel klaar bent om DSM te vernieuwen. Je weet immers niet wat de hackers allemaal uitvreten en die hebben in theorie wel toegang tot jouw volledige thuisnetwerk!

Foto van Synology
Categorieën Producenten
Naar begin pagina.

6 REACTIES

  1. hallo,
    ik heb een vraag ivm met mijn NAS server. Om diverse pcs met elkaar te verbingen en een centrale server te hebben, werd me een NAS aangeraden. Alles liep goed, tot ik een twee tal weken ineens tussen alle files 4 ‘decrypt’ files terug vond. Hierdoor zijn al de files onleesbaar geworden. In veilige modus heb ik alle files met die ‘decrypt’benaming er uit gehaald, maar alle andere files, mijn files dus, zijn kapot. Een gek iets, dit is alleen maar op de NAS, alle documenten op de laptop en desktop die in permanente verbinding staan met de NAS en waar ik werk met de files van de NAS, is er niets. Ik heb overal veelvuldig norton laten lopen, maar op de NAS zelf zie ik niet hoe ik daar meer kan doen dan enkel via een pc deNAS als externe schijf laten scannen. Is dit voldoende?
    en dan zou ik, ipv me bezig te houden met alle files te willen herstellen, of proberen herstellen, de NAS herformateren. Maar ook dat lukt me niet. ik kan dus wel inloggen op de schijf, maar daar kan ik enkel de files manueel verwijderen… Dan ben ik dus niet zeker of alles weg is. daarnaast probeerde ik dus ook die update te doen, draait nu op 5.0 4493, geen idee of dit meest recente is en of ik dus wel of niet moet updaten, maar ook dat lukt niet. ik kan nergens inloggen om die update te doen en manueel downloaden kan ik wel, maar dan zit ik vast. Wat doe ik met die file?
    Ik zag op jullie site/forum wel wat info, dus hopelijk kunnen jullie me even verder helpen?

    alvast bedankt!

    • Je Synology-nas werd gehackt via het internet omwille van een bug in het DSM-besturingssysteem. Herinstalleer je nas volgens de instructies in de handleiding en gebruik daarbij het nieuwste DSM-besturingssysteem. Zie ook deze tutorial op de website van Synology. Update DSM vervolgens altijd automatisch zodat eventuele beveiligingsgaten snel worden gedicht. Overweeg om je nas niet zomaar vrij via het internet toegankelijk te maken (dit kan via de firewall in je router).

  2. Misschien het ideale tijdstip om DSM 5 – dat sinds gisteren beschikbaar is – te installeren en een review over te schrijven?

    • DSM 5 hebben we al vermeld op de site ten tijde van de bèta in januari (gebruik de zoekfunctie). Overigens wordt DSM 5 bij ons momenteel nog niet aangeboden bij de firmware update, dat kan altijd enkele uren tot dagen duren. Dus de boodschap blijft van de laatste beschikbare versie te installeren.

  3. De gehackte nassen waarover hierboven sprake , waren dat nassen die in een thuisnetwerk stonden en enkel zo gebruikt werden of waren die toestellen zo geconfigureerd dat zij ook van buitenaf toegangkelijk waren ?

LAAT EEN REACTIE ACHTER

Schrijf je reactie!
Vul hier je naam in

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.