SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
@Frogman, ich suche es gerade, muss zu meiner Schande gestehen, dass ich es nicht finde (vielleicht habe ich mich nur verlesen, ich suche aber weiter)Bin aber auf das hier gestoßen: http://www.kb.cert.org/vuls/id/534284 Prinzipiell geht es um ein hardgecodedes openVPN Passwort, was nicht geändert werden kann, betroffen sind alls DS 4.3 3810 Update 1 und vorher (ich kannte diese CVE nicht)
Das hat doch aber nichts mit dem aktuellen Fall zu tun - und schon gar nichts mit der Aussage, encryptete Daten seien nach einer Zahlung wieder decrypted worden. Du solltest solche Aussagen mit Bedacht machen... - nach meinem Informationsstand ist das in keinem Fall erfolgt (und ich habe lange gesucht).
 

yep_DD

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
@Frogman, zugang über openVPN und Virus eigeschleust? Warum kann es nicht damit zu tun haben. Alle DS auf 1194 scannen und Virus einspielen
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Weil mehrere Betroffene nach ihren Angaben kein OpenVPN nutzen.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
weil ovpn per default auf einem UDP Port läuft und UDP Portscans sehr lange dauern und nicht zuverlässig sind. Es gibt zwei Lücken die wesentlich wahrscheinlicher sind: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6987 und http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6955
Weil nur weil du die Auth am ovpn überwunden hast musst du immer noch eine Lücke in einer Anwendung resp gültige Zugangsdaten finden. Zudem ist UDP 1194 nicht unbedingt eindeutig für eine DS. Da ist TCP 5000 resp 5001 wesentlich eindeutiger. Zudem sind TCP Portscans schnell und recht zuverlässig
 

yep_DD

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
@Frogman, vielleicht verrrenne ich mich da. Aber was, wenn OpenVPN mehr oder weniger unbewusst aktiviert wurde und die Portfreigabe durch die DS automatisch geschalten wurde? Gab es bei der DS nicht auch mal in früheren Version blanke admin Accounts ohne Passwort (siehe: https://www.synology.com/en-global/support/tutorials/478#t2), was wenn da das OpenVPN hardgecodete PW auch funktionierte (user: root, pw: synopass, siehe dazu: http://www.cvedetails.com/cve/CVE-2014-2264/)? Ich kann es leider nicht prüfen, da meine DS die Version 5 hat und gerade heruntergefahren zu Hause steht, bis ich heimkomme

Das mit dem Freischalten, nach dem Bezahlen stand m.E. als Kommentar von einem Nutzer auf der Seite (http://www.cso.com.au/article/551527/synolocker_demands_0_6_bitcoin_decrypt_synology_nas_devices/), aber es ist nicht mehr zu finden (gelöscht?)
 

yep_DD

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
weil ovpn per default auf einem UDP Port läuft und UDP Portscans sehr lange dauern und nicht zuverlässig sind. Es gibt zwei Lücken die wesentlich wahrscheinlicher sind: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6987 und http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6955
Weil nur weil du die Auth am ovpn überwunden hast musst du immer noch eine Lücke in einer Anwendung resp gültige Zugangsdaten finden. Zudem ist UDP 1194 nicht unbedingt eindeutig für eine DS. Da ist TCP 5000 resp 5001 wesentlich eindeutiger. Zudem sind TCP Portscans schnell und recht zuverlässig

Portscan TCP auf 5000 und 5001, Zugriff dann über 1194, wäre ja auch noch eine Möglchkeit, oder?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
@Frogman, vielleicht verrrenne ich mich da. Aber was, wenn OpenVPN mehr oder weniger unbewusst aktiviert wurde und die Portfreigabe durch die DS automatisch geschalten wurde?
Hui - jetzt wird's drollig... Da soll sich also mit Ebbe und Flut das VPN-Server-Paket alleine installiert, aktiviert und konfiguriert haben - wo das halbwegs gestandene User aktiv nicht hinbekommen? Nee, also da gewinne ich eher 2mal hintereinander 'nen Sechser im Lotto...
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

yep_DD

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
@Frogman: leider kenne ich einige Nutzer (zwei Kollegen, die die DS nutzen, einer aber nur lokal), die ein Paket installeirt haben, es geöffnet haben (genau einmal) ohne es wieder zu löschen, nur um es auszuprobieren ohne zu wissen, was es tut.... Ich glaube, das passiert häufiger als man denkt. Ist leider diese "Smartphone-App" Mentalität. Aber das wird es sicher nicht sein, zu abwegig.... Stimmt.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Portscan TCP auf 5000 und 5001, Zugriff dann über 1194, wäre ja auch noch eine Möglchkeit, oder?
klar von hinten durch die Brust ins Auge :) Wieso OVPN wenn es wohl genügend 4.3-er im Umlauf hat mit den erwähnten Lücken am DSM und die den DSM auch nach aussen offen haben??
 

yep_DD

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
klar von hinten durch die Brust ins Auge :) Wieso OVPN wenn es wohl genügend 4.3-er im Umlauf hat mit den erwähnten Lücken am DSM und die den DSM auch nach aussen offen haben??

Ja, aber laut Aussage von zeyda hat er eine DS4xx mit DSM5 am Laufen... und die CVE bezieht sich zwar auf 4.3, aber weiß...
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ja, aber laut Aussage von zeyda hat er eine DS4xx mit DSM5 am Laufen...
Vorsicht, das ist wieder solch ein schwammiges Zitat Deinerseits - die Aussage von ihm war auf Deine Frage hin "ich gehe davon aus", was auf gut deutsch heißt 'vielleicht, vielleicht auch nicht'...
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
nein hat er nicht (unbedingt) :) Du hast das suggeriert und er meinte zu deiner Frage
@yep DD ich gehe davon aus ja

ich habe nirgends gefunden dass er explizit gesagt hat ja ich habe dsm 5 am start
Zudem wäre die OVPN Lücke auch im DSM 5 nicht mehr vorhanden
 

WebBuddha

Benutzer
Mitglied seit
05. Apr 2009
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
Mmh, sieht mir jetzt nicht anders aus als die bereits bekannten - willst Du uns damit etwas Neues zeigen?
Hatte nur das eine gesehen, welches den DSM Hintergrund hatte und ohne den code ersichtlich war...Sorry falls doppelte Info.
 

Eckoman

Benutzer
Mitglied seit
23. Nov 2010
Beiträge
90
Punkte für Reaktionen
0
Punkte
6
Post #34 hier im Thread zeigt doch eindeutig das (irgend eine) Version 5 des DSM betroffen ist: http://www.synology-forum.de/showth...n-durch-Hacker&p=445151&viewfull=1#post445151

Bevor wir von Synology nichts genaueres über den Exploit wissen würde ich sofort jedweden externen Zugriff auf die DS abklemmen, egal mit wie viel Komforteinbußen das verbunden ist. Es sei denn man hat ein sehr aktuelles Backup und scheut sich nicht die DS im Zweifelsfall neu aufzusetzen.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Könnte genauso gut auch (bloß) gemacht worden sein! Son weisses Kästchen in ein Foto reinmachen, kann ich auch! Kanns ja mal machen :)
 

Oceanwaves

Benutzer
Mitglied seit
23. Dez 2013
Beiträge
105
Punkte für Reaktionen
17
Punkte
18
Post #34 hier im Thread zeigt doch eindeutig das (irgend eine) Version 5 des DSM betroffen ist:
Nein, nicht zwingend. Nach allem was ich gelesen habe, ist eine Anmeldung am DSM nicht mehr möglich, wenn das NAS gehackt wurde. Auf dem Bild hat aber definitiv eine Anmeldung an DSM5 stattgefunden. Einen solchen "Screenshot" kann man sich problemlos sogar mit "Paint" basteln, da braucht's nicht mal ein Photoshop.

Bevor wir von Synology nichts genaueres über den Exploit wissen würde ich sofort jedweden externen Zugriff auf die DS abklemmen, egal mit wie viel Komforteinbußen das verbunden ist. Es sei denn man hat ein sehr aktuelles Backup und scheut sich nicht die DS im Zweifelsfall neu aufzusetzen.
Das hingegen würde ich mit unterschreiben. Habe ich mit meiner DS mit DSM 5.0 und allen Patchen auch erst mal gemacht.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat