Secuestros aleatorios de NAS Synology

Si tienes el acceso externo a tu NAS Synology activado mediante el servicio EZ-Internet estás en grave peligro. Según se ha reportado en los foros de Synology, un malware aleatorio está peinando Internet en busca de NAS Synology con este tipo de acceso externo, para proceder a encriptar su información y pedir al propietario 350$ de rescate para desencriptarlos.

De momento no se sabe cual es la vulnerabilidad ni si podría afectar a usuarios que tengan su acceso externo configurado con otros servicios de IP fija, así que, aunque podría bastar con cortar el acceso a los puertos 5000 y 5001, creo que lo más recomendable es desactivar el acceso directo completamente… y no sé si yo si incluso desenchufar el NAS y enterrarlo en un agujero, porque estas cosas dan un miedo espectacular.

[ACTUALIZACIÓN]: Se sospecha también de los puertos 21 y 23 o incluso del acceso por VPN. Como medida general de seguridad (no sólo para este momento) no sería mala idea crear un usuario administrador distinto del predeterminado y deshabitar este último.

Hablando de esto (ACTUALIZANDO):

http://www.cso.com.au/article/551527/synolocker_demands_0_6_bitcoin_decrypt_synology_nas_devices/

http://www.av100fun.com/viewtopic.php?f=7&t=307107&st=0&sk=t&sd=a

http://xpenology.com/forum/viewtopic.php?f=2&t=3575

http://www.synology-forum.de/showthread.html?56206-SynoLocker-TM-Daten-auf-NAS-gecrypted-worden-durch-Hacker

http://www.mobile01.com/topicdetail.php?f=494&t=4019241&p=1

Gracias a @Rubik2k por el tweet y a @Stsebas por el retweet.

MIS MEDIDAS DE SEGURIDAD

1 – He entrado en el router y he borrado la redirección de los puertos 5000 y 5001 que apuntaban al NAS.

2 – En el NAS, he ido a Panel de Control – QuickConnect y lo he deshabilitado.

3 – En el NAS, he ido a Panel de Control – Acceso externo y he borrado la linea correspondiente a la redirección DNS que tenía con Synology, en mi caso algo así como minas.myds.me

4 – He ido al Centro MyDS y en la linea de mi NAS, en la casilla Recursos, le he dado a algo así como desvincular host DDNS, me ha advertido de que si lo hago perderé mi nombre de host y lo tendré que registrar de nuevo y le he dicho OK.

5 – En el NAS, he ido a Panel de Control – Red – Configuración de DSM y he cambiado los puertos por defecto 5000 y 5001 por otros de mi elección tipo 50xx y he activado todas las demás casillas a lo loco.

Ahora para acceder a mi NAS desde fuera tengo que poner miIPdinámica:50xx. Cuando todo esto pase ya veré si activo otra vez EZ Internet, DYNDNS o lo que sea.

ACTUALIZADO: Más medidas de seguridad y seguimiento del caso en Faq-Mac.

ACTUALIZADO 4 AGOSTO 20 HORAS: Apenas una nota en el formulario de soporte es la escasa respuesta (por ahora) de Synology,

12 thoughts on “Secuestros aleatorios de NAS Synology

  1. Muchas gracias por el aviso Emilio!
    Parece que los usuarios infectados estaban en versiones antiguas (4.2) del DSM. Aun así, no esta de menos tomar precauciones.

    1. A ver qué dicen los de Synology, pero aunque se confirme eso, creo que no me voy a quedar tranquilo en una temporada.

    1. Yo de momento he cerrado en el router todos los puertos que apuntaban al NAS, aparte de desactivar Quickconnect.

  2. Realmente con eliminar del router cualquier redirección de puertos al NAS hubiera sido más que suficiente… el que quiera entrar desde fuera al NAS tiene q pasar por el router y el router no le va a redirigir si no tiene la regla de redirección creada.

  3. Veo además Emilio que como has cambiado de puertos de acceso has tenido que crear reglas de nuevo en el router con esos nuevos puertos… yo hasta que no pase todo esto no te aconsejaría tener acceso desde fuera al NAS (aunque sea otro puerto) Es muy fácil para un hacker programar un script que vaya mandando paquetes a cada puerto de un rango amplio de IPs buscando NAS de synology y no sólo al 5000 o 5001.

    1. Muy cierto, pero yo ya no tengo una URL de Synology, sino mi IP dinámica normal y corriente o en todo caso una URL de DYNDNS o cualquier servicio similar. Este ataque no es indiscriminado contra TODO INTERNET porque sería imposible de realizar, sino que busca las URL de los servicios de Synology.

      1. Esto de que busca sólo las URL de synology es cierto? Lo otro que comentas no es imposible, es más complejo pero no imposible… Programar un script para que coja un rango de IP públicas amplio y que mande paquetes a los puertos que sean buscando respuesta de synology… Eso no es ni la primera ni la última vez que se hace. Yo realmente hasta que no se aclaren las cosas cerraría todo acceso externo al NAS y listo.

        1. Se supone que los NAS atacados son los que tienen acceso externo usando EZ Internet con servicios de la propia Synology y URL QuickConnect. Pero bueno, también parecía que sólo el DSM 4.3 estaba afectado y ya han salido casos con DSM 5.

  4. Gracias por las actualizaciones Emilio.
    También cerráis los puertos que a puntan a la librearía de plex en el NAS?

Deja un comentario