Комментарии 24
SYNOLOGY ПРИЗЫВАЕТ ПОЛЬЗОВАТЕЛЕЙ ОБНОВИТЬ ОС DSM, ДЛЯ ЗАЩИТЫ ОТ ВИРУСА SYNOLOCKER, УГРОЖАЮЩЕГО СТАРЫМ ВЕРСИЯМ
Судя по капсу, Вы не призываете, а требуете в приказном порядке.
Ну и зачем кричать? DSM 5 уже 100 лет в обед. Уже все давно обновились, кто хоть иногда его использует.
А как вирус попадает туда?
Ломится снаружи по стандартным портам. Так что если к NAS нет доступа из интернета, то и волноваться не надо. Почти :)
Можно догадаться как. В тексте данного поста написано:
Теперь идём на страничку Инструкция по безопасности продуктов Synology
Смотрим какие уязвимости закрывались в декабре или рядом с ним.
Видим, что к описанию DSM 4.3-3827
Более того, по запросу в гугле
В ней есть текст
используя уязвимость, устраненную в декабре 2013
Теперь идём на страничку Инструкция по безопасности продуктов Synology
Смотрим какие уязвимости закрывались в декабре или рядом с ним.
Видим, что к описанию DSM 4.3-3827
После установки DSM 4.3-3827 можно будет восстановить ОС DSM и удалить вредоносные программы, проникшие в результате двух уязвимостей:
уязвимость, создавшая возможность несанкционированного доступа через DSM по протоколу HTTP; исправлено в обновлении 1 DSM 4.3-3810 и выпущено в ноябре 2013 г. (CVE-2013-6955)
уязвимость, создавшая возможность несанкционированного доступа через приложение File Staton; исправлено в обновлении 3 DSM 4.3-3810 и выпущено в декабре 2013 г. (CVE-2013-6987)
Более того, по запросу в гугле
Synology metasploitпопадаем на эту страничку
В ней есть текст
'CVE', '2013-6955'. Скорее всего, её и использовали. Раз уж есть пример эксплоита
используя уязвимость, устраненную в декабре 2013 года
Я как в воду глядел. Как раз в декабре 2013 года написал статью Пример безопасной настройки домашней локальной сети, где фигурирует NAS Synology. Вот общая схема, на базе бюджетного роутера Mikrotik:
там даже предусмотрен безопасный удалённый доступ из интернета к NAS Synology на основе технологии port knocking
Смена дефолтного порта помогает или идет перебор всех?
У меня у одного не качается последнее обновление с www.synology.com/ru-ru/support/download/?
Чтобы поставить версию DSM 5.0-4493 нужно, чтобы на борту была 4.3-3827, которую можно скачать отсюда ukdl.synology.com/download/DSM/4.3/3827/
Давно искал повод обновить стопку synology
Давно искал повод обновить стопку synology
Самое гениальное, что Synology в своем письме предлагает обновиться на версию 5.0 или на последнюю версию 4.3 (update5 вроде). Только вот ссылки на update5 нет ни в письме, ни на сайте, ни на ftp это обновление не находится. Везде только новая версия 5.0 или старая 4.3.
И еще — Synology уже надоели со своими обновлениями web-интерфейса. Тратят кучу времени и сил на то, чтобы иконки, окна и т.п. перерисовать, но в веб-интерфейс мало кто часто заходит. А вот каких-нибудь полезных пакетов — типа интеграции с dropbox, webdav (чтоб подключать как диск и/или делать туда выборочный backup) — до сих пор нет.
И еще — Synology уже надоели со своими обновлениями web-интерфейса. Тратят кучу времени и сил на то, чтобы иконки, окна и т.п. перерисовать, но в веб-интерфейс мало кто часто заходит. А вот каких-нибудь полезных пакетов — типа интеграции с dropbox, webdav (чтоб подключать как диск и/или делать туда выборочный backup) — до сих пор нет.
Добрый день!
Апдейты устанавливаются из web интерфейса после обновления до последней версии (то есть 5.0 -4493 update 3 можно установить только после установки 5.0-4493 и т.д)
Если у кого-то не обновляется автоматом — вот ссылка на апдейты
По поводу интеграции с DropBox — доступно в пятой версии, пакет называется CloudSync. ссылка
Апдейты устанавливаются из web интерфейса после обновления до последней версии (то есть 5.0 -4493 update 3 можно установить только после установки 5.0-4493 и т.д)
Если у кого-то не обновляется автоматом — вот ссылка на апдейты
По поводу интеграции с DropBox — доступно в пятой версии, пакет называется CloudSync. ссылка
Я об этом и говорю — если я не хочу переходить на 5.0, а хочу обновиться до 4.3-3827 update5 (как предлагает сделать письмо), то это сделать было невозможно, т.к. ссылки на это обновление нигде не было (да, я уже обратился в службу поддержки и ссылку от них получил). Но письмо выглядит очень странно — типа «обновитесь до 4.3-3827 update5, но мы не скажем вам как».
Спасибо за ссылку на CloudSync. Придется все-таки на 5.0 обновиться и попробовать :).
Спасибо за ссылку на CloudSync. Придется все-таки на 5.0 обновиться и попробовать :).
Ну вы проснулись, пострадавшие от уязвимости появились как минимум 6-го августа.
Способ распространения, вероятно, heartbleed, если верить:
«20:42 06.08.2014
Доброго времени суток! Я являюсь инженером технической поддержки российского представительства компании Synology.
По тем данным, которые мы получили от пользователей, данной проблеме подвержены только пользователи старых версий ОС DSM (DSM 4.3-3810 и более ранних). Данный троянец распространяется через уязвимость в SSL протоколе (более известную как Heartbleed), которая была устранена ещё в декабре 2013 года. В текущих версиях операционной системы DSM данная проблема не наблюдается.»
Способ распространения, вероятно, heartbleed, если верить:
«20:42 06.08.2014
Доброго времени суток! Я являюсь инженером технической поддержки российского представительства компании Synology.
По тем данным, которые мы получили от пользователей, данной проблеме подвержены только пользователи старых версий ОС DSM (DSM 4.3-3810 и более ранних). Данный троянец распространяется через уязвимость в SSL протоколе (более известную как Heartbleed), которая была устранена ещё в декабре 2013 года. В текущих версиях операционной системы DSM данная проблема не наблюдается.»
Как говорится: «если на клетке со страусом написано „лев“ — не верьте».
Этот сотрудник либо что-то напутал, либо его квалификация как специалиста оставляет желать лучшего. И вот доказательства сего
Бага Heartbleed имеет номер CVE-2014-0160. Т.е. о декабре 2013 говорить, по меньшей мере, странно. Если, конечно, данный сотрудник не сотрудничал с АНБ
По поиску на хабре можно выяснить, что про эту багу техническое сообщество узнало в начале апреля 2014.
Идём на страничку Инструкция по безопасности продуктов Synology. Ищем исправление, которое устраняет уязвимость CVE-2014-0160 (предположительно, датированное после начала апреля). И находим его (от 10 апреля) — DSM 5.0-4458 Обновление 2
Как пользователь Synology DS 212j и тестировщик публичных эксплоитов CVE-2014-0160 могу подтвердить, что до установки обновлений устройство было подвержено уязвимости. Но в реальной жизни существуют ограничения на использования этой уязвимости в промышленных масштабах:
1. В процессе эксплуатации чаще попадается не пароль, а сессия. Верней, пароль мне вообще ни разу не попадался. Подозреваю, что это связано с особенностью грамотной реализации аутентификации в веб-морде Synology. Но это только мои догадки.
2. Время сессии, которую можно по-умолчанию угнать = времени нахождения в системе пользователя + 10-15 мин после. Далее сессия устаревает и становится бесполезной для атакующего. 10-15 мин — это как раз дефолтные настройки в Synology, где-то в настройке через веб инферфейс их можно менять
3. Далеко не каждый раз эксплоит выдаёт дамп желаемой сессии. Это связано как с самим эксплоитом (может, его кто-то и додумался допилить), так и с особенностью самой уязвимости
4. Даже если всё удалось, троянец должен как-то закрепиться в системе. А доступа через веб (без эксплуатации дополнительных уязвимостей самого веба) может быть недостаточно: нужно включить SSH через веб и залогиниться в SSH. Но пароля у нас нет, только сессия. Да, можно создать нового пользователя с нужными правами и известным нам паролем. Но далее SSH должен быть виден из интернета, что не всегда верно, т.к. Synology бывает и за роутером, который форвардит только порты веб-морды
А теперь сравните трудоспособность всего этого с трудоспособностью эксплуатации CVE-2013-6955, которая была закрыта обновлением DSM 4.3-3827 от февраля 2014, на которую есть публичный эксплоит от metasploit (как я сообщал ранее), и которой достаточно доступа по веб-инферфейсу для распространения заразы
Этот сотрудник либо что-то напутал, либо его квалификация как специалиста оставляет желать лучшего. И вот доказательства сего
Бага Heartbleed имеет номер CVE-2014-0160. Т.е. о декабре 2013 говорить, по меньшей мере, странно. Если, конечно, данный сотрудник не сотрудничал с АНБ
По поиску на хабре можно выяснить, что про эту багу техническое сообщество узнало в начале апреля 2014.
Идём на страничку Инструкция по безопасности продуктов Synology. Ищем исправление, которое устраняет уязвимость CVE-2014-0160 (предположительно, датированное после начала апреля). И находим его (от 10 апреля) — DSM 5.0-4458 Обновление 2
Как пользователь Synology DS 212j и тестировщик публичных эксплоитов CVE-2014-0160 могу подтвердить, что до установки обновлений устройство было подвержено уязвимости. Но в реальной жизни существуют ограничения на использования этой уязвимости в промышленных масштабах:
1. В процессе эксплуатации чаще попадается не пароль, а сессия. Верней, пароль мне вообще ни разу не попадался. Подозреваю, что это связано с особенностью грамотной реализации аутентификации в веб-морде Synology. Но это только мои догадки.
2. Время сессии, которую можно по-умолчанию угнать = времени нахождения в системе пользователя + 10-15 мин после. Далее сессия устаревает и становится бесполезной для атакующего. 10-15 мин — это как раз дефолтные настройки в Synology, где-то в настройке через веб инферфейс их можно менять
3. Далеко не каждый раз эксплоит выдаёт дамп желаемой сессии. Это связано как с самим эксплоитом (может, его кто-то и додумался допилить), так и с особенностью самой уязвимости
4. Даже если всё удалось, троянец должен как-то закрепиться в системе. А доступа через веб (без эксплуатации дополнительных уязвимостей самого веба) может быть недостаточно: нужно включить SSH через веб и залогиниться в SSH. Но пароля у нас нет, только сессия. Да, можно создать нового пользователя с нужными правами и известным нам паролем. Но далее SSH должен быть виден из интернета, что не всегда верно, т.к. Synology бывает и за роутером, который форвардит только порты веб-морды
А теперь сравните трудоспособность всего этого с трудоспособностью эксплуатации CVE-2013-6955, которая была закрыта обновлением DSM 4.3-3827 от февраля 2014, на которую есть публичный эксплоит от metasploit (как я сообщал ранее), и которой достаточно доступа по веб-инферфейсу для распространения заразы
У меня были проблемы с автоматическим обновлением 212j (Сбой подключения и автоматический возврат на страницу настроек), поэтому всё откладывал-откладывал. В итоге, после прочтения этой статьи таки решился поискать решения. Вот этот топик очень помог. Оставляю здесь, вдруг кто-то тоже откладывает-откладывает.
А на DS409+ уже все, забили?
Последняя прошивка 4.2 и как понимаю, что ожидать 5-ю нет смысла?
Мне нужен L2TP в VPN Server, но он есть только в 5 прошивке.
Последняя прошивка 4.2 и как понимаю, что ожидать 5-ю нет смысла?
Мне нужен L2TP в VPN Server, но он есть только в 5 прошивке.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Synology призывает пользователей обновить ОС DSM для защиты от вируса SynoLocker, угрожающего старым версиями