NAS Synology – Attaques StealthWorker en cours…

Hier, certains d’entre vous nous ont remonté des alertes étranges sur leurs NAS. Des pirates semblent faire des attaques de type brute-force sur les NAS (notamment via le compte admin). Rien de nouveau… mais le nombre de cas détecté est alarmant. Synology s’est fendu d’un communiqué. Il confirme qu’une attaque de grande envergure est en cours. Explications…

Synology StealthWorker

StealthWorker et NAS Synology

Si votre NAS n’est pas accessible depuis l’extérieur (via internet), vous n’êtes pas concernés par cette alerte. Si votre NAS est en DMZ ou si vous avez laissé la fonction UPNP gérer votre réseau : alors il faudra s’inquiéter. En effet, une attaque importante est en cours. La cible : les NAS Synology ! Hier, nous avions été alertés par un nombre important de tentatives de connexion. Cela arrive fréquemment, mais ici le nombre de cas remonté était impressionnant.

Un communiqué a été rédigé par le fabricant de NAS : « Synology PSIRT (Product Security Incident Response Team) a récemment vu et reçu des rapports sur une augmentation des attaques par force brute (brute-force) contre les appareils Synology. Les chercheurs en sécurité de Synology pensent que le botnet est principalement dirigé par une famille de logiciels malveillants appelée « StealthWorker ». À l’heure actuelle, Synology PSIRT n’a vu aucune indication que le malware exploite des vulnérabilités logicielles ». Il ajoute : « Ces attaques s’appuient sur un certain nombre de dispositifs déjà infectés pour essayer de deviner les informations d’identification admin et, en cas de succès, elles accèdent au système pour installer leur logiciel malveillant, qui peut inclure un ransomware. Les dispositifs infectés peuvent mener des attaques supplémentaires sur d’autres dispositifs basés sur Linux, y compris les NAS Synology ». Vous êtes maintenant prévenus.

Conseils de sécurité pour votre NAS

Tout d’abord, nous vous conseillons de regarder les journaux de connexion de votre NAS (via le Centre des journaux). Ensuite, comme indiqué précédemment, si votre NAS est en DMZ : retirez-le immédiatement. Si vous n’êtes pas chez vous et que vous ne savez pas comment faire, éteignez votre NAS à distance. Si vous avez laissé la configuration d’ouverture de port via UPNP, regardez bien les ports ouverts sur votre Box/routeur. Désactivez-le via le Panneau de configuration > Accès externe > Configuration du routeur. Seuls les ports et redirections nécessaires doivent être présents sur votre Box.

Enfin, nous vous rappelons qu’il faut absolument :

  • Désactiver le compte admin (Panneau de configuration > Utilisateurs et groupe) ;
  • Utiliser un mot de passe fort (au moins 8 caractères avec une majuscule, une minuscule, un chiffre et un caractère spécial) ;
  • Activer le blocage automatique des IP (Panneau de configuration > Sécurité > Protection) ;
  • Mettre à jour son NAS régulièrement (Panneau de configuration > Mise à jour et restauration) ;

Notre article des 10 conseils sécurité pour votre NAS est un peu ancien (2014), mais il reste toujours d’actualité. Soyez prudent avec vos données et votre NAS !

source

  1. Je vous donnes le nom des attaquant, chez moi du moins : plcmspip et polycom

    Automatiquement bloquer par le nas cars trop de tentatives échoué.

  2. Merci pour l’info, je n’avais pas vu les nombreuses tentatives (1/min) depuis 2 jours au moins. Moi qui repoussait de basculer mon compte Admin, du coup j’ai activer le MFA et basculer sur un nouveau compte. Mes conteneurs Docker et mon serveur Plex fonctionne sans probleme sans avoir a tout reconfigurer, juste Cloud sync qui est lié a un utilisateur qui faut donc relancer mais cela a pris quelques instants.
    De ce que j’ai vu ce sont des IP différentes à chaque fois et de différentes régions du monde aussi…

  3. Visiblement, j’ai changé de box il y a quelques mois et il me semblait l’avoir coupé car je n’en ai pas besoin.
    Après avoir check, le brut force a lieu depuis le 27/07 (tout les 3 à 5 min) et cela continue actuellement.
    J’avais verrouillé les IP de provenance hors Europe, heureusement!

  4. Je subis la même attaque depuis quelques jours. J’avais heureusement désactivé le compte Admin, activé la MFA, activé le blocage pour les terminaux non sûrs et le blocage d’IP.

    Question à Victor : comment avez-vous bannis les IP hors d’Europe svp? Je ne pars pas souvent à l’étranger, donc ça m’intéresse fortement (et je ne dois pas être le seul).

  5. Bizarre, je suis concerné depuis cette nuit, force brute toutes les 5 minutes. J’ai un DS414 qui ne me sert qu’a du stockage et de serveur VPN, pas de gestion Cloud, Plex ou autre je n’ai que les ports strictement necessaires pour moi d’ouverts (interface de gestion, VPN) avec le compte admin désactivé par défaut et l’Upnp désactivé donc j’ai un peu de mal à comprendre.

  6. Truc rigolo, il suffit de prendre les IP présentes dans les logs, d’ajouter :5000 ou :5001, et on tombe sur… des nas synology 😀

    Nos nas sont donc attaqués par des nas zombies.

  7. @Pierre : ce qu’on dire, c’est que les IP pointent vers des versions de DSM. Par contre, je ne suis pas certain que tu puisses affirmer que ces DSM sont hébergés sur des NAS Synology. Des versions pirates existent et peuvent très bien receler du code malveillant.

  8. Pour répondre a Indyana, on peut bloquer les IP via des emplacements dans les règle de pare-feu. J’ai de base bloqué tout ce que je n’ai pas autorisé manuellement. et j’ai aussi autorisé certains pays ou je peux être amené a me déplacer, et donc les autres ne sont pas autorisé 😉

  9. Salut, merci pour l’info. j’ai exporté les journaux de connexions et j’ai fait un peu de REGEX pour sortir toutes les adresses IP qui ont attaquées. J’ai 667 IP différentes. J’ai importé la liste dans les bloquages IP, comme ça elles sont directes BAN quand elles essaies de se connecter. ça soulage (un peu) le NAS je pense.

  10. @ilyaptech
    On peut importer des IP ??
    (En allant voir, je constate effectivement qu’on peut =P je n’avais jamais fait attention ;))

    Pourrais-tu partager cette liste des fois que ça soit utile ?

    En ce qui me concerne, je n’ai pas ces attaque (/encore/ — j’espère jamais).
    Je n’ai que le port 443 ouvert (au monde, faudrait peut-être que je restreigne…) et le 6690 de Drive server uniquement à la France. (J’ai le parefeu du routeur Synology et celui de mon NAS DS920+).
    Tout passe par le reverse proxy sur le NAS.

    Mon DSM n’est pas accessible via internet grace au contrôle d’accès que j’ai mis en place sur le reverse proxy pour utiliser un nom de domaine depuis mon LAN (oui c’est plus classe ^^).

  11. Depuis ce matin, plus de 1000 tentatives de connexions avec admin ou system. Blocage d’adresse inefficace car toutes les deux tentatives, il y a un changement d’adresse IP… Je viens de passer à blocage dès deux tentatives.
    Compte admin déjà désactiver.
    Je viens de désactiver l’UPnp IDG sur la box…

  12. @Sebr
    Yes moi aussi mais j’en ai beaucoup moins. 2-5 par heure.
    J’espère que ça t’aides un peu.

  13. Merci pour la liste!
    De mon coté, suite à l’ajout plus rien depuis 30 min. Et les dernieres ip qui ont tentées étaient dans ta liste.
    J’ai aussi vu que mon script de blocage d’ip n’était plus lancé dans mes taches planifiées du coup ^^ (j’ai réinstallé mon DSM il y a quelques mois suite à un crash et le script n’était plus exactement au meme endroit.. ca explique les mails hadopi… ^^)

    @Sebr: tu devrais peut etre faire un extract des ip de ton coté et l’ajouter à la premiere liste, y’a surement un bot qui tourne de facon linéaire et soit tu es plus loin dans la liste des ips, soit avant ^^

  14. Merci Victor pour l’astuce que je ne connaissais pas, je devrais pouvoir dormir plus tranquille?!

    et Merci Ilyaptech pour le fichier?!

  15. @ilyaptech merci pour la liste, je n’ai plu de problèmes, j’ai activé la double authentification, verrouiller à 1 tentative pour 10mn.
    Augmenté la taille du mot de passe.
    Plus aucunes tentatives.

  16. Merci pour la liste !!! Bloqué dans securite>compte>blocage auto>autoriser/bloquer la liste.

    J’ai commencé par mettre cette liste dans autorisation . Heureusement si on ajoute la même liste dans liste de blocage ça écrase les autorisations .

    Je confirme que les attaquants sont des nas syno avec compte admin toujours actif.

  17. 2 Factor authentication activé. Ça devrait faire l’affaire. Et il y a une limite aux nombre de tentatives et délai…
    Après désactiver admin reste la solution la plus efficace pour le confort

  18. Bjr perso pas de soucis compte admin désactiver et mdp fort aussi bien pour le compte admin que l’autre.
    Pensez a changer vos ports par défaut les 5000 et 5001 par d’autres
    Je suis derrière mon routeur peut être qu’il ma sauver bien que dans la nuit de mercredi a jeudi j’ai du le redémarrer manuellement après plantage du modem ( Box Fai ) et du routeur
    Merci pour la liste malgré que dans le pare-feu du nas j’ai bannis 25 pays qui sont le max et surtout les VPN ou proxy cela pourra toujours servir 😉

  19. En faite moi c’est sur le SSH que j’ai des attaques toute les secondes alors que j’ai changé le port en plus.

  20. @Sebr: j’ai aussi changé le port SSH, mais il n’est pas ouvert vers l’extérieur. Mais le filtrage d’IP devrait fonctionner aussi pour le SSH, as tu croisé les ip qui t’attaque vis a vis des listes ?
    J’ai eu 20 tentatives dans la nuit, j’ai ajouté les ip à ma liste et à part une ce midi, je n’ai plus rien non plus.

    Il est possible que les zombies qui lance des attaques ciblés blacklist les cibles qui ne répondent pas après X tentatives afin de pouvoir cibler d’autres NAS (ce qui serait cohérent pour maximiser l’efficacité de l’attaque)

  21. J’ai besoin du ssh pour du rsync je l’ai coupé et rebbot du nas toujours des attaques en ssh avec essai en root. Dans le journal a l’accueil je vois toutes les ip mais après je vois pas comment les extraire dans un autre menu j’ai que les log local.

  22. Normalement tu peux faire un extract de tes logs, ça sort en html, donc si tu as les compétences, une regex pour avoir juste les ip, sinon tu copie le tableau html dans un Excel et 2/3 formules imbriquées et hop

  23. Pour le moment mon centre des journaux est vide de chose suspecte. Que des choses générés par moi-même.
    Donc ouf

  24. Bjr a tout hasard êtes vous toujours en DSM 6.2

    Parce que avec DSM 7 il y a l’appli secure signin pour la double étape et j’avoue que je n’utilise plus le MDP mais uniquement l’appli et sa facilite la vie et la sécurité, il y a aussi le mode hello de windows avec une clef biométrique qui est pratique ^^

  25. Hello, d’après la liste des IP fournie plus haut il y a un bon nombre de DMS sous Xpenlogy mais certain son de vrai NAS Synology avec de vraie page d’accueil personnalisée. Certaines pages de connexion indique même le nom de domaine, on peut y vérifier le certificat SSL qui est bien à jour. Plus choquant j’ai même retrouvé du DSM 7…

    Point commun, le compte admin est actif et pas de contrôle du nombre de tentative de connexion.
    Bien curieux de faire le chemin inverse…trouver leur mot de passe, trouver leurs logs..

  26. salut à tous !

    pour ma part chez moi, je n’utilise plus de services ou logiciels de chez qnap ou synology en frontal.

    j’ai deux solutions selon si c’est prof ou si c’est chez moi pour accéder à mes données :
    – prof: un routeur vpn de marque que je ne citerai pas par raison de sécurité.
    – part: une Freebox et son serveur vpn.(il faut désactiver tous les anciennes normes obsolètes)

    bref je configure les profiles d’accès sur mon téléphone et/ou sur mon pc fixe/portable. je n’enregistre jamais le mot de passe. et je vérifie l’accès le plus sécurisé possible sur ces outils : maj & mot de passe qui font le travail.

    donc quand ma connexion vpn est accordé. je configure les logiciels de mon téléphone de la marque dédié à un accès dit local : gestionnaire de fichiers (qfile/dsfile, dsaudio ….)
    si c’est un pc, je monte les lecteurs réseaux etc…

    Chez Free, il y a en ce moment un test fermé béta sur l’intégration du support de Wireguard dans la partie VPN.
    https://www.universfreebox.com/article/495156/free...

    Franchement pour l’instant je n’en ai pas besoin. cela marche pas mal.

    bref aucun port n’est redirigé. mes nas ne sont pas en frontal du net. oui je ne suis pas à l’abris d’une faille ou d’un mauvais réglage de ma part. cela vient souvent du PIBC (l’humain ou Problème Interface Banquette Clavier). 😉

    @+ les loulous

  27. bonjour

    seconde vague en cours après les 744 ip (liste plus haut) c’est repartie depuis hier avec un premier tweet mais j’ai pas allumé mon pc depuis et surprise j’en suis à + de 130 nouvelles ip et cela monte

    vous voilà prévenu 🙁

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.