Synology : des attaques ciblées sont en cours…

Depuis quelques heures, des utilisateurs de NAS Synology remontent un nombre important de tentatives de connexion sur leurs appareils. S’il n’y a aucune indication qu’une faille ait pu être exploitée, nous vous appelons à la prudence pour les prochaines heures, les prochains jours…

Les NAS Synology sont ciblés

Depuis quelques mois, les NAS sont des cibles privilégiées. Il faut dire que de nombreux utilisateurs possèdent un boîtier réseau, l’ouvre sur Internet sans prendre le temps de le configurer, de le protéger. Des utilisateurs de NAS QNAP et Asustor en ont fait les frais à plusieurs reprises ces derniers mois. Des ransomwares (rançongiciels) ont été installés sur leurs boîtiers et certains ont perdu tous les fichiers d’une vie (photos, documents, scans…).

Si nous n’en sommes pas (encore) ici, il y a de nombreux signaux qui ont été remontés cette nuit. Sur les réseaux sociaux et forums spécialisés, des propriétaires de NAS Synology ont constaté de nombreuses tentatives de connexion avec des adresses IP différentes avec le compte admin. Il s’agit donc d’une attaque de type brute-force.

Si ce n’est pas nouveau, les attaques sont régulières… mais ici, le nombre de cas détecté est inquiétant. À chaque tentative, une nouvelle adresse IP est utilisée afin de passer sous les radars. Nous vous appelons à la plus grande prudence dans les prochaines heures, même si aucune faille ne semble avoir été exploitée.

Conseils de sécurité pour votre NAS

Si c’est possible, nous vous conseillons de désactiver l’exposition de votre NAS à Internet… voire de l’éteindre. C’est radical, mais efficace. Nous savons que ce n’est pas toujours possible, mais voici ce que vous pouvez faire (si ce n’est pas déjà fait).

Surveillez les journaux de connexion de votre NAS Synology depuis le Centre des journaux. On ne le rappellera jamais assez, mais un NAS ne doit pas être DMZ (lire notre article). Si vous avez laissé la gestion des ports à l’UPnP, regardez bien les ports ouverts sur votre Box/routeur et désactivez ceux inutiles via le Panneau de configuration > Accès externe > Configuration du routeur. Seuls les ports et redirections nécessaires doivent être présents sur votre Box. Pensez à changer les ports par défaut. Enfin, nous vous rappelons les règles importantes à respecter :

  • Désactivez le compte admin (Panneau de configuration > Utilisateurs et groupe) ;
  • Utilisez des mots de passe fort (au moins 8 caractères avec une majuscule, une minuscule, un chiffre et un caractère spécial) ;
  • Activez le blocage automatique des IP (Panneau de configuration > Sécurité > Protection) ;
  • Autorisez uniquement les adresses IP en provenance de France (Panneau de configuration > Sécurité > Pare-feu) ;
  • Mettez à jour régulièrement votre NAS (Panneau de configuration > Mise à jour et restauration) ;

Enfin, nous vous rappelons que notre article sur 10 conseils sécurité pour votre NAS est un peu ancien, mais reste toujours d’actualité. Soyez prudent avec vos données, votre NAS, et pensez à faire des sauvegardes !

  1. Merci pour l’info
    Il faut rappeler régulièrement d’être vigilant et de sécuriser autant que possible son NAS

  2. Merci pour l’info, même si j’ai revendu mon synology pour un NAS fait maison ^^.
    Au passage, il est bon de rappeler qu’un NAS n’est pas une sauvegarde s’il est utilisé comme stockage réseau. Il faut toujours sauvegarder sur un support externe (un autre nas, un DDE, une disquette ;-D).

    1. Bonjour,
      Pourquoi dis-tu que le Nas n’est pas une sauvegarde s’il est utilisé comme stockage réseau ?
      Merci

      1. Bonjour Kesskisspass,
        Parce que si le NAS est exposé alors il est considéré comme vulnérable aux attaques. Ce n’est donc pas une solution de sauvegarde sécurisée.
        Après s’il est exposé il peut aussi devenir une porte d’entrée vers les autres périphériques de votre réseau donc la solution d’un deuxième NAS… 😉

        1. Et si on utilise comme backup un deuxième NAS sur un autre réseau (donc également exposé), on peut considérer ça comme une solution de sauvegarde sécurisée ?

        2. Mais aucune sauvegarde ne peut être considérée comme étant sécurisée, d’où l’intérêt d’en avoir plusieurs, à différents endroits etc…
          Et moi une de mes sauvegardes Time Machine est bien sur le Nas, et je la considère comme une sauvegarde.

  3. Je confirme, attaque en cours depuis 20h14 hier.
    Mon compte admin a beau être désactivé ce n’est pas très rassurant…

  4. Il serait bon aussi de rappeler, de restreindre les connexion de certains pays dans le pare-feu et autorisé par exemple que la France à se connecter sur le NAS. Moi par exemple : par défaut il interdit toute connexion entrante sauf celle de mon réseau local et provenant de la France métropolitaine

  5. Pareil ici, attaque élaborée via une alternance d’adresse IP, cependant, elle vise principalement le compte ‘admin’, désactivé.
    J’ai pris l’option de changer le port de connexion à la page DSM, le port 5001 étant connu de tous.

  6. Bonjour, je confirme cela a commencé hier soir chez moi.
    L’adresse source change par contre toujours à destination du compte admin…

  7. Merci 327, filtre sur le pays ajouté (il faudra que je pense à l’ajuster si je sors de France (ou que je pense à passer via le VPN))
    Remarque : plus de tentative depuis 13h chez moi
    (J’avais aussi supprimé un dynDNS que je n’utilisais plus (qui était désactivé mais pas supprimé))

    1. De rien l’ami, je t’avoue que depuis que j’ai mis en place ce filtrage je ne reçois aucune tentative de connexion mal intentionné sur le compte admin.

  8. Depuis plusieurs semaine, mon routeur RT2600AC reçoit entre pas mal de tentative pour essayer de se connecter. Le routeur bloque les IP après x tentatives pour quelques jours mais d’autres attaques reviennent.
    Je suppose que les autres BOX ont le même problème même si les gens ne sont pas sensible à cela car bien souvent c’est le routeur de leur FAI et tout cela est caché avec l’absence de log sur les box des FAI.

  9. Plusieurs reprises tentatives de connexion sur le compte admin (désactivé), mais c’est depuis plusieurs mois que cela dure…

  10. idem pour moi, plein de tentative, d’ip provenant de biélorussie, tawain et autre pays d’asie en ce moment, sur compte admin (désactivé), mais aussi des comptes hypothétique comme system entre autres. Sur protocole SMB1 (non activé) pour ma part

  11. Cela semble s’être calmé.
    J’ai renforcé le pare-feu, et depuis plus de notifications.

    Dernière attaque chez moi à 12h57.
    Merci aux membres du forum!

  12. Bonjour Chez moi RAS

    RT 2600 AC et Syno 218+

    Pour le nas compte admin désactiver port par défaut changer pare-feu bien paramétrer memes les techs de chez Syno non pas accès a leurs demandes j’ai dû créer deux règles dans le Nas pour qu’ils puissent intervenir routeur et nas sous VPN par un fournisseur différents 🙂

    Bon courage a tous !!

  13. Salut ! Attention, une fois votre NAS infecté, c’est votre NAS qui attaque les autres (BotNet)! Hier, mon NAS faisait des attack DDOS à plus de 200 Mo/s! J’ai ouvert un ticket hier soir pour informer Synology, ils m’ont carrément appelé ce matin (Synology Europe) sur mon téléphone pour me dire que j’étais la première personne à avoir donné l’alerte, et qui sont débordé! Le souci c’est qu‘à Taïwan c’est jour férié, et qu’ils étaient livrés à eux même, pour résoudre le problème aujourd’hui !
    En tout cas les personnes qui ont été piraté, vont devoir réinstaller tout le système DSM ! Vos NAS sont vérolé !

    1. Salut Doug,

      Pourrais-tu nous en dire plus (faille utilisée, malware, comportement du NAS ) ? Ton compte admin était toujours actif ? Est-ce suite à l’attaque qui a commencé hier soir ou le malware est arrivé par un autre biais ?

      Merci d’avance.

  14. Bonjour FX et merci pour l’info.

    A propos de la recommandation « Autorisez uniquement les adresses IP en provenance de France (Panneau de configuration > Sécurité > Pare-feu)  » j’ai toujours entendu dire qu’il valait mieux un pare feu configuré par défaut que mal configuré par un utilisateur. Est ce que ça serait possible qu’un jour il y ait un article qui explique la « bonne » configuration du pare-feu? En tous les cas merci pour le boulot fait.

    1. Oui, c’est quelque chose que je compte faire.

      L’idéal, c’est de ne pas exposer son NAS à Internet (ou pas directement). Cela passe par des règles de protection en amont (Box/routeur) avec le pare-feu intégré ou dédié, l’utilisation d’un VPN peut être un plus et enfin un ensemble de protections sur le NAS en lui-même.

  15. J’ai constaté aussi pas mal de tentatives de connexion sur le 5001 via le compte « admin » (qui est désactivé), avec des IP différentes.

    J’ai bloqué les IP non Françaises et hors LAN dans le pare-feu de DSM (je pensais que c’était déjà le cas, mais bon, au moins c’est fait).

  16. Ah oui en effet impressionnant, moi aussi sur mes deux NAS sur 2 sites physiques différents pour la redondance. Attaques jusqu’à 12h57 ce mardi 11 octobre…
    Même chose j’avais désactivé le compte admin (heureusement).

    Je vais de ce pas activer la restriction d’IP pour assurer le coup !

  17. Bonsoir
    Activer l’authentification à double facteur (2FA) est aussi une protection supplémentaire.
    Merci pour ces précieux conseils.

  18. J’avais aussi des attaques
    Ça a commencé le 11 octobre
    J’avais déjà désactiver le compte admin
    Activités le blocage d’ip changer le port par défaut
    J’avais encore des attaques
    La restriction par pays a mis fin aux attaques
    La plupart venait de Chine

  19. Oui cela fait quelques jours que je subis des assauts environ toutes les minutes. M’etonnerait que quelqu’un y arrive. Ce qui m’inquiete plus c’est que le pare feu de la box ne bloque pas. Mon nas n’est nullement exposé a l’exterieur. Cela signifie que tous mes autres peripheriques sont exposés… Non ?

    1. Si tu subis les attaques c’est que ton NAS est exposé. Soit via la box (par exemple via une DMZ ou du NAT) soit via la configuration de ton NAS (Quickconnect, etc…).

  20. Je n’ai rien remarqué mais comme mon pare feu bloque toutes les connexions SAUF ip venant de belgique/suisse/france, j’ai l’impression que c’est un bon palliatif aux attaques.
    Dommage qu’on ne puisse pas voir, tout du moins pas à ma connaissance, les logs du pare feu chez Synology.

  21. bonjour
    comment vous faites pour bloquer tout sauf france? sur dsm 7, je ne peux choisir que 15 pays…
    chez moi le port 5001 n’est pas utiliser mais c’est un autre sur lequel il essaie de rentrer,
    443 pour le reverse proxy 🙁

  22. Bonjour,

    Autoriser uniquement la France, revient à bloquer tout le reste en pays (FW dans DSM).

    Afin de voir toutes les tentatives de connexion en échec, il faut :

    Centre des journaux -> Journaux (à gauche) -> dans le menu déroulant à droite : passer de « Général » à « Connexion » -> Dans le champ recherche : Niveau -> « Personnaliser… » -> cocher Avertissement + Erreur -> Clic sur Recherche.

  23. Je vous invite à utiliser le conseiller de sécurité fournit par Synology (avec paramètres perso + entreprise).

    1. Plus rien depuis que j’ai restreint à la France. Reste 3 pays dont j’ai besoin et pour l’instant ça va italie portugal danemark. J’ai été attaqué sur admin le 11 et depuis 13h aujourd’hui

  24. Bonjour,
    Merci pour cet article. Je n’utilise mon NAS qu’en local, savez vous comment je peux bloquer tous les flux entrants extérieurs ?
    Je suis assez inquiète par ce que vous annoncez.

  25. Bonjour,
    Je suis parvenu grâce au log a isoler près de 500 IP. Je les ai ajoutés à la liste noir, depuis je n’ai plus de nouvelles requêtes.
    Si ça intéresse je peux partager les csv qui contient les IP.

    1. c’est bien mais notez qu’ils utilisent des Bots corrompus, donc des milliers d’agents (donc d’@IP) déployés partout sur le net

  26. Bonjour moi ça m interresse stp
    Ce qui me gave avec dsm 7 c est le filtrage de pays limiter à 15 a la fois je trouve pas comment contourner et tout avoir d un coup

    1. Bonjour,
      sinon pour le filtrage, moi je fais l’inverse, au lieu d’interdire, je n’autorise que la france (et USA aussi, car autrement je n’arrive pas à faire fonctionner DSAudio avec Alexa)

  27. bonjour
    je confirme aussi les attaques, la méthode que j’ai appliquée:
    – blocage IP des la première tentative
    – compte admin désactivé, c’est indispensable (créer un autre compte admin specifique)
    depuis ce WE au vue des tentatives sur le port tcp DSM: (car avant s’était sur le https/443)
    – modification du port DSM https avec un autre port que 5001, du coup, depuis je n’ai plus rien.

    La méthode des hacker s’appuie sur les informations connues par défaut, soit:
    – le compte « admin »
    – le port par défaut « 5001 »
    Le fait qu’il tentent sur le tcp/5001 est qu’il cible précisemement les NAS Synology.

  28. Les attaques continuent…
    Une partie vient de France !
    Quelqu’un a une idée de la manière dont nous sommes ciblés ?

  29. Bonjour,

    J’ai beau avoir fermé les vannes en autorisant que les IPs française sur le NAS, l’attaque sur le compte admin (desactivé) continue avec des IPs hors France. Comme si les filtres n’étaient pas pris en compte. Autre chose à faire ?

    1. il faut filtrer la source venant de Franc uniquement mai pour les flux DSM (ou port 5001), cela réduira les attaques.
      il faut désactiver le compte admin et en créer 1 ou 2 autres spécifiques.
      Il faut whitelister la source de votre réseau LAN Allow List par exemple sur 192.168.0.0/255.255.0.0
      Il faut bloquer (black list IP) toute tentative dès la première connexion. ceci étant ils utilisent des bot donc des milliers d’@IP différentes, mais bon c’est un plus.
      Enfin, le plus efficace, changer le port DSM par défaut 5001 par un autre. ainsi tous les bots ne ciblant que le 5001 pour les NAS Synology, ils ne taperons donc plus sur le votre en changeant le port.
      N’oubliez pas de finir votre liste de règle firewall un la dernière qui doit être un Deny All. Toutes les règles au dessus doivent être ouvertes pour le juste nécessaire, le juste besoin.

      1. @jcollet1

        Il y a bien longtemps que je n’utilise plus les ports 5000/5001, que le compte admin est désactivé et que seul mon réseau local et Ips françaises sont autorisés en refusant toutes autres Ips et pourtant ça ne change rien. Ca continue à attaquer avec des Ips étrangères comme si les règles dans le pare-feu n’étaient pas effectives…

  30. Bonjour, depuis aujourd’hui c’est au tour des comptes « emby », «office », «ftp », « nobody » d’être attaqués.

  31. Bonjour depuis aujourd’hui, je vois que les attaques continuent sur mon NAS.
    J’ai pleins de noms : christine, johnny, music, pierre, gaopeng et des noms en chinois.

    Heureusement que j’ai désactivé le compte admin et changé tous les ports par défaut 🙂

    C’est pénible

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.