SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[Frogman]

@Frogman, ich suche es gerade, muss zu meiner Schande gestehen, dass ich es nicht finde (vielleicht habe ich mich nur verlesen, ich suche aber weiter)Bin aber auf das hier gestoßen: http://www.kb.cert.org/vuls/id/534284 Prinzipiell geht es um ein hardgecodedes openVPN Passwort, was nicht geändert werden kann, betroffen sind alls DS 4.3 3810 Update 1 und vorher (ich kannte diese CVE nicht)

Das hat doch aber nichts mit dem aktuellen Fall zu tun - und schon gar nichts mit der Aussage, encryptete Daten seien nach einer Zahlung wieder decrypted worden. Du solltest solche Aussagen mit Bedacht machen... - nach meinem Informationsstand ist das in keinem Fall erfolgt (und ich habe lange gesucht).

 

[yep_DD]

@Frogman, zugang über openVPN und Virus eigeschleust? Warum kann es nicht damit zu tun haben. Alle DS auf 1194 scannen und Virus einspielen

 

[Frogman]

Weil mehrere Betroffene nach ihren Angaben kein OpenVPN nutzen.

 

[jahlives]

weil ovpn per default auf einem UDP Port läuft und UDP Portscans sehr lange dauern und nicht zuverlässig sind. Es gibt zwei Lücken die wesentlich wahrscheinlicher sind: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6987 und http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6955
Weil nur weil du die Auth am ovpn überwunden hast musst du immer noch eine Lücke in einer Anwendung resp gültige Zugangsdaten finden. Zudem ist UDP 1194 nicht unbedingt eindeutig für eine DS. Da ist TCP 5000 resp 5001 wesentlich eindeutiger. Zudem sind TCP Portscans schnell und recht zuverlässig

 

[yep_DD]

@Frogman, vielleicht verrrenne ich mich da. Aber was, wenn OpenVPN mehr oder weniger unbewusst aktiviert wurde und die Portfreigabe durch die DS automatisch geschalten wurde? Gab es bei der DS nicht auch mal in früheren Version blanke admin Accounts ohne Passwort (siehe: https://www.synology.com/en-global/support/tutorials/478#t2), was wenn da das OpenVPN hardgecodete PW auch funktionierte (user: root, pw: synopass, siehe dazu: http://www.cvedetails.com/cve/CVE-2014-2264/)? Ich kann es leider nicht prüfen, da meine DS die Version 5 hat und gerade heruntergefahren zu Hause steht, bis ich heimkomme

Das mit dem Freischalten, nach dem Bezahlen stand m.E. als Kommentar von einem Nutzer auf der Seite (http://www.cso.com.au/article/551527/synolocker_demands_0_6_bitcoin_decrypt_synology_nas_devices/), aber es ist nicht mehr zu finden (gelöscht?)

 

[GrafGleni]

Update des Artikels (klick) auf heise.de:

Update vom 04.08.14, 14:45: Synology hat uns gegenüber angekündigt, hierzu in Kürze in offizielles Statement zu veröffentlichen. (rei)

 

[yep_DD]

weil ovpn per default auf einem UDP Port läuft und UDP Portscans sehr lange dauern und nicht zuverlässig sind. Es gibt zwei Lücken die wesentlich wahrscheinlicher sind: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6987 und http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6955
Weil nur weil du die Auth am ovpn überwunden hast musst du immer noch eine Lücke in einer Anwendung resp gültige Zugangsdaten finden. Zudem ist UDP 1194 nicht unbedingt eindeutig für eine DS. Da ist TCP 5000 resp 5001 wesentlich eindeutiger. Zudem sind TCP Portscans schnell und recht zuverlässig

Portscan TCP auf 5000 und 5001, Zugriff dann über 1194, wäre ja auch noch eine Möglchkeit, oder?

 

[Frogman]

@Frogman, vielleicht verrrenne ich mich da. Aber was, wenn OpenVPN mehr oder weniger unbewusst aktiviert wurde und die Portfreigabe durch die DS automatisch geschalten wurde?

Hui - jetzt wird's drollig... Da soll sich also mit Ebbe und Flut das VPN-Server-Paket alleine installiert, aktiviert und konfiguriert haben - wo das halbwegs gestandene User aktiv nicht hinbekommen? Nee, also da gewinne ich eher 2mal hintereinander 'nen Sechser im Lotto...

 

[Frogman]

...Das mit dem Freischalten, nach dem Bezahlen stand m.E. als Kommentar von einem Nutzer auf der Seite (http://www.cso.com.au/article/551527/synolocker_demands_0_6_bitcoin_decrypt_synology_nas_devices/), aber es ist nicht mehr zu finden (gelöscht?)

Du hast von "dem einen oder anderen" gesprochen, also mindestens Plural... alle gelöscht?? Und außerdem sollte es im englischen Synology-Forum gewesen sein

 

[yep_DD]

@Frogman: leider kenne ich einige Nutzer (zwei Kollegen, die die DS nutzen, einer aber nur lokal), die ein Paket installeirt haben, es geöffnet haben (genau einmal) ohne es wieder zu löschen, nur um es auszuprobieren ohne zu wissen, was es tut.... Ich glaube, das passiert häufiger als man denkt. Ist leider diese "Smartphone-App" Mentalität. Aber das wird es sicher nicht sein, zu abwegig.... Stimmt.

 

[jahlives]

Portscan TCP auf 5000 und 5001, Zugriff dann über 1194, wäre ja auch noch eine Möglchkeit, oder?

klar von hinten durch die Brust ins Auge Wieso OVPN wenn es wohl genügend 4.3-er im Umlauf hat mit den erwähnten Lücken am DSM und die den DSM auch nach aussen offen haben??

 

[yep_DD]

klar von hinten durch die Brust ins Auge Wieso OVPN wenn es wohl genügend 4.3-er im Umlauf hat mit den erwähnten Lücken am DSM und die den DSM auch nach aussen offen haben??

Ja, aber laut Aussage von zeyda hat er eine DS4xx mit DSM5 am Laufen... und die CVE bezieht sich zwar auf 4.3, aber weiß...

 

[Frogman]

Ja, aber laut Aussage von zeyda hat er eine DS4xx mit DSM5 am Laufen...

Vorsicht, das ist wieder solch ein schwammiges Zitat Deinerseits - die Aussage von ihm war auf Deine Frage hin "ich gehe davon aus", was auf gut deutsch heißt 'vielleicht, vielleicht auch nicht'...

 

[WebBuddha]

Hier mal ein anderes Bild zu der Meldung

 

[Frogman]

Hier mal ein anderes Bild zu der Meldung

Mmh, sieht mir jetzt nicht anders aus als die bereits bekannten - willst Du uns damit etwas Neues zeigen?

 

[jahlives]

nein hat er nicht (unbedingt) Du hast das suggeriert und er meinte zu deiner Frage

@yep DD ich gehe davon aus ja

ich habe nirgends gefunden dass er explizit gesagt hat ja ich habe dsm 5 am start
Zudem wäre die OVPN Lücke auch im DSM 5 nicht mehr vorhanden

 

[WebBuddha]

Mmh, sieht mir jetzt nicht anders aus als die bereits bekannten - willst Du uns damit etwas Neues zeigen?

Hatte nur das eine gesehen, welches den DSM Hintergrund hatte und ohne den code ersichtlich war...Sorry falls doppelte Info.

 

[Eckoman]

Post #34 hier im Thread zeigt doch eindeutig das (irgend eine) Version 5 des DSM betroffen ist: http://www.synology-forum.de/showth...n-durch-Hacker&p=445151&viewfull=1#post445151

Bevor wir von Synology nichts genaueres über den Exploit wissen würde ich sofort jedweden externen Zugriff auf die DS abklemmen, egal mit wie viel Komforteinbußen das verbunden ist. Es sei denn man hat ein sehr aktuelles Backup und scheut sich nicht die DS im Zweifelsfall neu aufzusetzen.

 

[TheGardner]

Könnte genauso gut auch (bloß) gemacht worden sein! Son weisses Kästchen in ein Foto reinmachen, kann ich auch! Kanns ja mal machen

 

[Oceanwaves]

Post #34 hier im Thread zeigt doch eindeutig das (irgend eine) Version 5 des DSM betroffen ist:

Nein, nicht zwingend. Nach allem was ich gelesen habe, ist eine Anmeldung am DSM nicht mehr möglich, wenn das NAS gehackt wurde. Auf dem Bild hat aber definitiv eine Anmeldung an DSM5 stattgefunden. Einen solchen "Screenshot" kann man sich problemlos sogar mit "Paint" basteln, da braucht's nicht mal ein Photoshop.

Bevor wir von Synology nichts genaueres über den Exploit wissen würde ich sofort jedweden externen Zugriff auf die DS abklemmen, egal mit wie viel Komforteinbußen das verbunden ist. Es sei denn man hat ein sehr aktuelles Backup und scheut sich nicht die DS im Zweifelsfall neu aufzusetzen.

Das hingegen würde ich mit unterschreiben. Habe ich mit meiner DS mit DSM 5.0 und allen Patchen auch erst mal gemacht.