Synology DSM 4.x Hack Teil II

Mittlerweile erhielt ich nun eine Mail von Synology, die darüber informierte, wie man eine Kompromittierung seines Systems feststellen kann. Ich stelle den Inhalt unkommentiert ein:

DSM Important Update 

Dear Synology users,
Synology®confirmed known security issues (reported as CVE-2013-6955 andCVE-2013-6987) which would cause compromise to file access authorityin DSM. An updated DSM version resolving these issues has beenreleased accordingly.

The followings are possible symptoms toappear on affected DiskStation and RackStation:

Exceptionallyhigh CPU usage detected in Resource Monitor:
CPU resource occupiedby processes such as dhcp.pid, minerd, synodns, PWNED, PWNEDb,PWNEDg, PWNEDm, or any processes with PWNED in their names
Appearanceof non-Synology folder:
An automatically created shared folderwith the name “startup”, or a non-Synology folder appearing underthe path of “/root/PWNED”
Redirection of the WebStation:
“Index.php” is redirected to an unexpectedpage
Appearance of non-Synology CGI program:
Files withmeaningless names exist under the path of“/usr/syno/synoman”
Appearance of non-Synology scriptfile:
Non-Synology script files, such as “S99p.sh”, appearunder the path of “/usr/syno/etc/rc.d”
If users identify anyof above situation, they are strongly encouraged to do thefollowing:

For DiskStation or RackStation running on DSM 4.3,please follow the instruction here to REINSTALL DSM 4.3-3827.
ForDiskStation or RackStation running on DSM 4.0, it’s recommended toREINSTALL DSM 4.0-2259 or onward from Synology Download Center.
ForDiskStation or RackStation running on DSM 4.1 or DSM 4.2, it’srecommended to REINSTALL DSM 4.2-3243 or onward from SynologyDownload Center.
For other users who haven’t encountered abovesymptoms, it is recommended to go to
DSM > Control Panel >DSM Update page, update to versions above to protect DiskStation frommalicious attacks.

Synology has taken immediate actions to fixvulnerability at the point of identifying malicious attacks. Asproliferation of cybercrime and increasingly sophisticated malwareevolves, Synology continues to casting resources mitigating threatsand dedicates to providing the most reliable solutions for users. Ifusers still notice their DiskStation behaving suspiciously afterbeing upgraded to the latest DSM version, pleasecontact security@synology.com.

Sincerely,
SynologyDevelopment Team

Also kurz zusammengefasst: Prüfung ob die o.a. geführten Symptome/Veränderungen an eurer Diskstation auftreten/vorhanden sind. Wenn ja Reinstallation DSM 4.3-3827 oder der entsprechenden DSM-Versionen eurer DSM (Daten sind davon nicht betroffen, ein aktuelles Backup kann aber nicht schaden), wenn nicht Update auf die neueste DSM-Version.

Der Angriff lief über die Ports 5000 (Webzugriff http), 5001 (Webzugriff https), 22 (ssh) und 23 (telnet). Noch einmal: solltet ihr den Fernzugriff auf eure DS haben wollen – unbedingt den Zugriff auf VPN umstellen. Nach Möglichkeit nicht über den VPN-Server der Diskstation, sondern bereits über ein vorgeschaltetes Gerät, also z.B. über den Router. 

Ein paar weiterführende Informationen sind bei Heise zu finden und die Macher des df Blogs haben ein HowTo zur Beseitigung der Malware veröffentlicht. Sehr lesenswert, auch wenn die Einschränkung auf DS Versionen „älter oder gleich DSM 4.2-3211“ nicht mehr ganz aktuell ist.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.