Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Faille de sécurité importante sur les NAS Synology
#1
Exclamation 
Attention, une importante faille de sécurité a été trouvée sur les NAS Synology, exploitée par les hacker mais pas encore clairement identifiée par les utilisateurs/développeurs, pas de correction encore disponible visiblement.

Risque: on retrouve la page d'admin avec un message indiquant que les fichiers sont cryptés et il est demandé une rançon (0,6 bitcoin = 400$) pour obtenir la clé.

http://forum.synology.com/enu/viewtopic.php?f=3&t=88716
http://forum.synology.com/enu/viewtopic....08&t=88770

Visiblement DSM 4.3 et 5 affectés, avec un doute sur le DSM 5, selon le forum lu ça indique oui ou non Smile
Certains commencent à dire que c'est une faille résolue depuis décembre 2013 et que les dernières versions ne seraient pas affectées. Pas sûr. Dans le doute, mettre à jour.

A surveiller de prés.
En attendant, ne plus rendre visible votre NAS sur le Net.
Calaos v1.1.20 sur Advantech x86 | Calaos Home écran tactile RS232 | Wago 750-841 | DMX RGB LED
Calaos-OS v2.0 sur Advantech x86 | Clé USB
Squeezebox | Raspberry & Scripts maison
Reply
#2
Pour eviter ca, il ne faut pas rendre son nas accessible sur internet avec le port 5000.
Raoul,
Calaos Core Dev.
Calaos git sur NUC NUC5PPYH | Wago 750-849 | DALI RGB | Sondes NTC sur 750-464 | Sondes 1Wire DS18B20 avec adaptateur USB DS9490R | Nodes MySensors avec gateway USB | Ecran tactile ELO avec adaptateur USB/RS232 | Squeezebox Duet et Radio | Logitech Harmony Ultimate | Ampli Pioneer VSX921
Reply
#3
Bon déjà mettre son NAS sur le Net, autre que pour un OpenVPN, n'est pas une très bonne idée, sauf si le bug vient du service VPN bien sûr...

Sais-tu quel service est compromis ?

Après, port 5000 ou un autre, une simple recherche google liste les Syno visibles, quelque soit le port utilisé, donc il ne faut pas mettre son NAS sur le Net... tiens ça me rappelle le même sujet sur les caméras IP Smile
Calaos v1.1.20 sur Advantech x86 | Calaos Home écran tactile RS232 | Wago 750-841 | DMX RGB LED
Calaos-OS v2.0 sur Advantech x86 | Clé USB
Squeezebox | Raspberry & Scripts maison
Reply
#4
J'avais lu que c'etait le service qui tournait sur le port 5000 qui avait une faille et leur permettait de rentrer dans le nas et d'installer leur merde qui va chiffrer tes fichiers....
Un bon gros truc d'enflure quand meme!

Mais c'est clair, jamais je mettrais mon nas dispo en ligne! Smile
Raoul,
Calaos Core Dev.
Calaos git sur NUC NUC5PPYH | Wago 750-849 | DALI RGB | Sondes NTC sur 750-464 | Sondes 1Wire DS18B20 avec adaptateur USB DS9490R | Nodes MySensors avec gateway USB | Ecran tactile ELO avec adaptateur USB/RS232 | Squeezebox Duet et Radio | Logitech Harmony Ultimate | Ampli Pioneer VSX921
Reply
#5
C'est clair ! :-(
Calaos v1.1.20 sur Advantech x86 | Calaos Home écran tactile RS232 | Wago 750-841 | DMX RGB LED
Calaos-OS v2.0 sur Advantech x86 | Clé USB
Squeezebox | Raspberry & Scripts maison
Reply
#6
En regardant de plus prés, dans la page de login du Syno, il y a la version exacte du DSM... c'est moche quand même ! Il n'y a plus qu'à cibler la recherche google pour avoir la liste des Syno vulnérables. Mais à quoi pensent les développeurs quand ils font une page d'accueil :-(
Calaos v1.1.20 sur Advantech x86 | Calaos Home écran tactile RS232 | Wago 750-841 | DMX RGB LED
Calaos-OS v2.0 sur Advantech x86 | Clé USB
Squeezebox | Raspberry & Scripts maison
Reply
#7
Conclusion, faut prendre du QNAP et pas du syno :p
Raoul,
Calaos Core Dev.
Calaos git sur NUC NUC5PPYH | Wago 750-849 | DALI RGB | Sondes NTC sur 750-464 | Sondes 1Wire DS18B20 avec adaptateur USB DS9490R | Nodes MySensors avec gateway USB | Ecran tactile ELO avec adaptateur USB/RS232 | Squeezebox Duet et Radio | Logitech Harmony Ultimate | Ampli Pioneer VSX921
Reply
#8
Les QNap sont des supers produits c'est clair ! Big Grin

en cherchant un peu sur le Google à " inurl:8080/cgi-bin/html/login.html " on trouve pas mal de QNap en ligne, avec en particulier dans le code de la page:
"3.8.1.20121205", qui semble correspondre à un firmware 3.8.1 buil 1205,
"4.0.7.20140412", idem...

Bon, ne connaissant pas les QNap c'est peut-être un fake mais bon... hein... Big Grin

haaa, la sécurité Undecided
Calaos v1.1.20 sur Advantech x86 | Calaos Home écran tactile RS232 | Wago 750-841 | DMX RGB LED
Calaos-OS v2.0 sur Advantech x86 | Clé USB
Squeezebox | Raspberry & Scripts maison
Reply
#9
ben ça tombe bien c'est ce que je viens d'avoir ! :Big Grin ça me rassure.
entre parenthèses un petit TS 220...ça suffit pour faire tourner 4-5 zones simultannement?
l'affichage des liste artistes est plus long sur calaos_home. Par contre, depuis une squeezeradio, la vitesse d'affichage reste inchangée...
Reply
#10
@raoul: je te ping sur l'IRC, en cherchant sur le net, il y a un gars qui a une centrale Calaos sur le net accessible en lecture/écriture ! Directement en partage de fichiers... même si c'est une machine de test surement, c'est pas à faire ! Ces questions de sécurité m'énervent à chaque fois ! AngryAngryAngry
Calaos v1.1.20 sur Advantech x86 | Calaos Home écran tactile RS232 | Wago 750-841 | DMX RGB LED
Calaos-OS v2.0 sur Advantech x86 | Clé USB
Squeezebox | Raspberry & Scripts maison
Reply


Forum Jump:


Users browsing this thread: 2 Guest(s)