Calaos, Home Automation Forum
Faille de sécurité importante sur les NAS Synology - Printable Version

+- Calaos, Home Automation Forum (https://calaos.fr/forum)
+-- Forum: Général (https://calaos.fr/forum/forumdisplay.php?fid=1)
+--- Forum: Annonces (https://calaos.fr/forum/forumdisplay.php?fid=2)
+--- Thread: Faille de sécurité importante sur les NAS Synology (/showthread.php?tid=311)

Pages: 1 2


Faille de sécurité importante sur les NAS Synology - Arnaud - 08-05-2014

Attention, une importante faille de sécurité a été trouvée sur les NAS Synology, exploitée par les hacker mais pas encore clairement identifiée par les utilisateurs/développeurs, pas de correction encore disponible visiblement.

Risque: on retrouve la page d'admin avec un message indiquant que les fichiers sont cryptés et il est demandé une rançon (0,6 bitcoin = 400$) pour obtenir la clé.

http://forum.synology.com/enu/viewtopic.php?f=3&t=88716
http://forum.synology.com/enu/viewtopic.php?f=108&t=88770

Visiblement DSM 4.3 et 5 affectés, avec un doute sur le DSM 5, selon le forum lu ça indique oui ou non Smile
Certains commencent à dire que c'est une faille résolue depuis décembre 2013 et que les dernières versions ne seraient pas affectées. Pas sûr. Dans le doute, mettre à jour.

A surveiller de prés.
En attendant, ne plus rendre visible votre NAS sur le Net.


RE: Faille de sécurité importante sur les NAS Synology - raoulh - 08-06-2014

Pour eviter ca, il ne faut pas rendre son nas accessible sur internet avec le port 5000.


RE: Faille de sécurité importante sur les NAS Synology - Arnaud - 08-06-2014

Bon déjà mettre son NAS sur le Net, autre que pour un OpenVPN, n'est pas une très bonne idée, sauf si le bug vient du service VPN bien sûr...

Sais-tu quel service est compromis ?

Après, port 5000 ou un autre, une simple recherche google liste les Syno visibles, quelque soit le port utilisé, donc il ne faut pas mettre son NAS sur le Net... tiens ça me rappelle le même sujet sur les caméras IP Smile


RE: Faille de sécurité importante sur les NAS Synology - raoulh - 08-06-2014

J'avais lu que c'etait le service qui tournait sur le port 5000 qui avait une faille et leur permettait de rentrer dans le nas et d'installer leur merde qui va chiffrer tes fichiers....
Un bon gros truc d'enflure quand meme!

Mais c'est clair, jamais je mettrais mon nas dispo en ligne! Smile


RE: Faille de sécurité importante sur les NAS Synology - Arnaud - 08-06-2014

C'est clair ! :-(


RE: Faille de sécurité importante sur les NAS Synology - Arnaud - 08-07-2014

En regardant de plus prés, dans la page de login du Syno, il y a la version exacte du DSM... c'est moche quand même ! Il n'y a plus qu'à cibler la recherche google pour avoir la liste des Syno vulnérables. Mais à quoi pensent les développeurs quand ils font une page d'accueil :-(


RE: Faille de sécurité importante sur les NAS Synology - raoulh - 08-07-2014

Conclusion, faut prendre du QNAP et pas du syno :p


RE: Faille de sécurité importante sur les NAS Synology - Arnaud - 08-07-2014

Les QNap sont des supers produits c'est clair ! Big Grin

en cherchant un peu sur le Google à " inurl:8080/cgi-bin/html/login.html " on trouve pas mal de QNap en ligne, avec en particulier dans le code de la page:
"3.8.1.20121205", qui semble correspondre à un firmware 3.8.1 buil 1205,
"4.0.7.20140412", idem...

Bon, ne connaissant pas les QNap c'est peut-être un fake mais bon... hein... Big Grin

haaa, la sécurité Undecided


RE: Faille de sécurité importante sur les NAS Synology - tony - 08-07-2014

ben ça tombe bien c'est ce que je viens d'avoir ! :Big Grin ça me rassure.
entre parenthèses un petit TS 220...ça suffit pour faire tourner 4-5 zones simultannement?
l'affichage des liste artistes est plus long sur calaos_home. Par contre, depuis une squeezeradio, la vitesse d'affichage reste inchangée...


RE: Faille de sécurité importante sur les NAS Synology - Arnaud - 08-07-2014

@raoul: je te ping sur l'IRC, en cherchant sur le net, il y a un gars qui a une centrale Calaos sur le net accessible en lecture/écriture ! Directement en partage de fichiers... même si c'est une machine de test surement, c'est pas à faire ! Ces questions de sécurité m'énervent à chaque fois ! AngryAngryAngry