Synology DSM : mettez à jour votre NAS !

Si vous disposez d’une ancienne version de DSM (de mai), il peut être urgent d’appliquer la dernière mise à jour. En effet, des chercheurs en sécurité ont découvert plusieurs failles de sécurité sur les NAS Synology. Elles permettent à des attaquants de contourner les mesures de sécurité et de compromettre l’intégrité des données. Les systèmes concernés : DSM 7.2, DSM 7.1… SRM 1.3 serait également concerné.

Télécharger et installer la dernière version

La semaine dernière, nous vous alertions sur le forum et les réseaux sociaux d’une attaque d’envergure ciblant les NAS Synology. Il s’agissait d’une attaque Bruteforce sur le compte admin. Aujourd’hui, c’est légèrement différent…

Avant toute chose, si votre NAS dispose à minima de DSM 7.2-64561 ou DSM 7.1-42661, alors vous êtes déjà protégés. Pour les autres, il y a de quoi s’inquiéter :

  • Faille dans DSM 7.1 : La vulnérabilité permet à des utilisateurs authentifiés distants de lire et d’écrire des fichiers sans avoir les droits. DSM 7.2 n’est pas concerné.
  • Faille dans DSM 7.2 : La vulnérabilité permet à des attaquants distants d’obtenir les informations d’identification d’un utilisateur. DSM 7.1 est également impacté, mais il n’y aurait pas de correctif.

A noter que DSM 6.2 et DSM 7.0 sont également concernés par ces 2 failles… et il n’y a pas (encore) de correctif.

Vous l’aurez compris, l’attaque est limitée pour DSM 7.1… mais elle reste bien réelle. Il faut que l’attaquant soit déjà authentifié (qu’il dispose d’un compte légitime). C’est ce qu’on appelle une élévation de privilèges/droits. Pour DSM 7.2, les informations sont encore très floues : valeurs insuffisamment aléatoires dans la fonctionnalité de gestion des utilisateurs. Cependant, on sait que l’attaquant peut récupérer des informations d »identification ! Si un attaquant arrive à combiner les 2 failles (sous DSM 7.1 ou inférieur), cela pourrait être dramatique.

À l’heure où nous écrivons ces lignes, rien n’indique que ces failles aient été exploitées. Cependant, nous vous recommandons vivement d’appliquer la dernière mise à jour de DSM pour votre NAS. Si vous n’avez pas de mise à jour pour votre NAS, ne l’exposer pas sur Internet !

Et SRM ?

Pour SRM 1.3, le système serait également concerné par ces 2 vulnérabilités (ici et )… mais il n’y a pas de correctif pour le moment. En effet le constructeur annonce seulement : En cours. SRM 1.2 serait également impacté.

  1. Bonjour
    La mise à jour doit etre importante car elle m’a été proposée automatiquement dans mon 718+ contrairement à l’habitude

  2. Je remarque via les logs du parre feu de mon routeur un accroissement des menaces tant pour Synology que pour Qnap.Rien que ce matin = 28 attaques entre 0H49 et 9H07. Et certaines attaques
    venant de France ……
    Qui m’attaque de Sainte-Colombe-sur-Gand ?

    1. Ca c’est plus embêtant quand on a des paramètres de filtrage par pays sur son Nas. 0 alertes de mon côté depuis plusieurs mois et pourtant j’ai quickconnect

  3. Bonjour,

    De mon côté, impossible de faire la mise à jour sur mon DS920+, version actuelle 7.2-64561 vers 7.2-64570-1

    J’ai le message suivant qui s’affiche: « L’espace disponible du disque de ce système est insuffisant »

      1. Et bien non..
        Crash de DSM lors de l’installation 7.3-64570-1, réinstallation de DSM demandée après le reboot…
        Première fois en + de 10 ans que je rencontre un problème lors d’une update…
        Ticket ouvert chez Synology.
        J’investigue quand même pour voir si ça ne proviendrait pas d’une défaillance d’un HDD…

        1. J’avais eu un soucis comme ça, pour le boulot, avec un RS2416RP+, pour le passer de DSM 6.2 à 7.0.

          Il démarrait, j’accédais aux fichiers via SMB, mais impossible de se logger sur l’interface DSM via le web.

          Ça me disait en gros que le système n’était pas prêt, lors de chaque tentative d’ouverture de session sur DSM.

          Le support Synology avait compris que comme toi les journaux étaient conséquent. Ce qui était vrai car il y avait de nombreuses tâches planifiées pour lequelles j’avais activé les journaux de sortie…

          Ils n’avemaient rien trouvé d’autre que de me faire faire une réinitialisation du système, en jouant du bouton reset a l’arrière de la machine, puis d’installer DSM 7 avec synology assistant, puis de retrouver tous les réglages antérieurs au moyen du fichier de backup de config (qui datait, honte à moi, il a fallu que je me repaluche pas mal de configuration).

          Je n’avais perdu aucune données, les dossiers partagés sont restés malgré tout intact.

          Le support m’avait dit ensuite qu’ils almaient travailler sur une meilleure rotation et purges des journaux, je n’en suis pas convaincu…

          Bref. Je ne pense pas que ça vienne d’un de tes disques.

          Je te souhaite bon courage.

          1. Merci !

            Effectivement, léger un bug a dû se glisser quelque part… Pas de soucis sur mes disques apparemment…

            Dur dur de faire une nouvelle installation après des années de paramétrage, même avec les sauvegardes, il y a toujours quelque chose à modifier…+

            La prochaine fois, j’attendrai un peu plus longtemps les retours avant de faire la mise à jour 🙂

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.