Synology tárolókat céloz az új titkosító malware

Azonnal zárjuk le a Synology tárolók internet felé elérhető portjait - ajánlja nem hivatalos nyilatkozatában (fórumán, magyarul) a gyártó, miután új, titkosító kártékony szoftver támadja ezeket az eszközöket. A SynoLocker klasszikus ransomware, vagyis olyan támadó szoftver, amely a tárolón található adatokat titkosítja, a kulcshoz pedig csak a váltságdíj kifizetését követően ígér hozzáférést. Az áldozatok által közölt információk szerint a támadók jelenleg 0,6 bitcoint (mintegy 350 dollárt) követelnek a kulcsért, arra persze semmilyen garancia nincs, hogy ezt át is adják a kifizetést követően.

Lovely. My @Synology NAS has been hacked by ransomware calling itself Synolocker. Not what I wanted to do today. pic.twitter.com/YJ1VLeKqfY

- Mike Evangelist (@MikeEvangelist) August 3, 2014

A Synology által közölt információk szerint a támadás jelenleg a cég operációs rendszerének, a DSM-nek a 4.3-as (4.3-3810 és korábbi) verzióit érinti. A támadás által kihasznált hibát a cég 2013 decemberében kiadott frissítése már orvosolta, így a jelenlegi információk szerint az azután kiadott verziók használata megvéd a támadástól. A DSM 5.0-s kiadása a cég szerint nem tartalmazta ezt a hibát, így ez a verzió védettséget élvez a jelen adatok szerint.

Az egyetlen biztos módszer a tároló (pontosabban a menedzsmentfelület elérésnek) leválasztása az internetről. Ehhez az eszköz az 5000-es és 5001-es portokat használja, ezeket érdemes a routeren azonnal lezárni, ezzel a tároló az automatizált támadás ellen immúnissá válik. Ezzel nyilván a portokon kínált más szolgáltatások (DS Audio, DS Cam, DS File, DS Finder, DS Video, DS Download, Video Station, File Station, Audio Station) is elérhetetlenné válnak. Arra érdemes odafigyelni, hogy a Synology saját EZ-Internet nevű menedzsmentszoftvere automatikusan újranyitja a fent említett portokat és ezzel újra kiteszi a tárolót a támadás veszélyének, így a szoftver használatát a frissítés befejezéséig kerüljük.

Ha mégis kritikus a Synology tároló távoli elérése, azt a javítás telepítéséig kizárólag VPN-en tegyük, a tárolót az internetről közvetlenül ne tegyük elérhetővé - mondja a gyártó. Amennyiben VPN szerver nem áll rendelkezésre, használható a készülékek FTP és WebDAV kliense, ez a jelenlegi információk szerint biztonságos és nem teszi elérhetővé a tároló adminisztrációs felületét.

^{(forrás: Anandtech)}

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

A cég ajánlása szerint a már megfertőződött tárolókat azonnal ki kell kapcsolni, ezzel a folyamatban lévő, fájlonként zajló titkosítás leállítható, és növeli az esélyt, hogy az adatok egy része visszaállítható marad. A fertőzött tárolók tulajdonosai a céghez fordulhatnak segítségért és támogatásért. Kérdéses ugyanakkor, hogy a jól tervezett támadás ellen a cég utólag hogyan tud segítséget nyújtani, a malware által adott információk szerint a fájlokat AES-256 CBC titkosítással zárolja a támadás, az ehhez használt, fájlonként egyéni kulcsot pedig RSA-2048 kulccsal zárja le.

Aggasztó az új malware

A SynoLocker a cryptolocker támadásoknak egy egészen új válfaja. Míg az eddigi szoftverek jellemzően a felhasználón keresztül jutottak be a számítógépre (trójai vagy egyéb malware formájában), a SynoLocker valószínűleg az IP-címek szkennelésével terjed és közvetlenül képes megfertőzni a tárolót, a felhasználó tudta (és közreműködése) nélkül. Az internetre kötött célgépek (appliance-ek) különösen sérülékenyek az ilyen támadásokkal szemben, mivel jellemzően egységes portot használnak, így egy biztonsági hiba esetén az összes eszköz megfertőzhető. Az egyetlen kihívást ilyenkor a támadó előtt az IP-címek szkennelése és a nyitott portok ellenőrzése jelenti - ez azonban nem számít komoly nehézségnek.