May 25 2017
Detectada una grave vulnerabilidad en Synology
Synology ha informado de una grave vulnerabilidad (CVE-2017-7494) que permite a un atacante acceder en remoto a nuestro NAS y cargar una biblioteca para tomar el control del servidor NAS.
Hace unos días os comenté la aparición de un grave problema de seguridad en QNAP y hoy le ha tocado a Synology.
La puerta de entrada de este malware es a través del puerto SAMBA (445), al igual que ocurriera con el famoso gusano-ransomware wannacry como ya te comenté en el podcast especial que dediqué al tema.
Las versiones afectadas del sistema operativo de Synology por este problema son: DSM 6.0 y DSM 6.1 para los NAS y SRM 1.1 para los routers de dicha marca.
Método de infección
Si tenemos el puerto SMB 445 accesible desde el exterior, es decir, si tenemos el puerto 445 abierto en el router para la IP del NAS, cualquiera podría acceder a una carpeta compartida con permisos de escritura y a través de un exploit subir una librería, que una vez en memoria a través de una ejecución de código obtendría el control del equipo.
Esta vulnerabilidad está presente desde la versión 3.x de SMB en adelante y afecta a varios sistemas operativos como Ubuntu 16.04 LTS x86_64 o DSM de Synology.
Aunque ya está solucionado para las versiones SAMBA 4.4.14, 4.6.4 y 4.5.10, en Synology deberemos esperar a que la marca saque los correspondientes parches de seguridad.
Según ha indicado Synology en breves días publicará las actualizaciones para DSM 6.1 (6.1.1-15101-04) y DSM 6.0 (6.0.3-8754-1) para solucionar este problema
Solución provisional
Hasta contar con la actualización correspondiente podemos tomar unas sencillas medidas para evitar infectarnos.
En primer lugar no debemos tener el puerto SAMBA expuesto al exterior, por lo que deberemos mantenerlo cerrado en el router para que el cortafuegos deniegue el acceso a cualquier persona ajena a la red local.
Por otro lado, si tenemos la necesidad de tener este puerto abierto, bastará con denegar el permiso de escritura y dejar sólo permiso de lectura. De esta manera a el atacante no podrá escribir el archivo necesario para lanzar el ataque y por lo tanto no podrá ejecutarlo.
Como una medida general de seguridad es conveniente tener siempre cerrados todos los puertos que no utilicemos para minimizar posibles intrusiones.
También es aconsejable por el mismo motivo activar sólo los servicios que vayamos a utilizar. Cuanto menor sea nuestra superficie de exposición menor es el riesgo de sufrir problemas de seguridad. Nunca sabemos qué vulnerabilidades nuevas pueden surgir.
Esperemos que Synology se dé prisa y pronto tengamos disponible la actualización.
Evolución
Por el feedback que estoy recibiendo parece que Synology está parcheando los equipos más rápido de lo esperado. Estate atento a las actualizaciones porque muchos modelos ya han recibido la actualización que soluciona esta vulnerabilidad.
Si tu modelo todavía está esperando el parche seguro que pronto lo recibirá.
mayo 25, 2017 @ 7:29 pm
Ofu, esperemos q la cosa se solucione pronto, aunque yo ese puerto no lo tengo configurado en el router.
mayo 25, 2017 @ 8:45 pm
Poco a poco van parchando los diferentes modelos de NAS. Parece que la cosa va rápida. Hay que estar atento a las actualizaciones.
mayo 25, 2017 @ 7:32 pm
Gracias por el aviso. En este momento acaban de lanzar un parche para corregir el problema, al menos para mi modelo.
mayo 25, 2017 @ 8:46 pm
Si, parece que están sacando los parches rápido.
mayo 25, 2017 @ 10:12 pm
Gracia por el aviso! Con que herramienta podemos fiarnos a la hora de comprobar los puertos?
mayo 25, 2017 @ 11:06 pm
Con http://canyouseeme.org
Mira el último vídeo y escucha el último podcast porque ahí lo explico todo.
Vídeo: https://youtu.be/wy87wGzIO-w
Podcast: https://www.ivoox.com/18813411
junio 2, 2017 @ 5:38 am
MacJosan se podría instalar un antivirus en un NAS, o tendrías conectarte vía LAN y pasar el antivirus q tienes desde PC.? Sugerencia podrias hacer un vídeo.
junio 2, 2017 @ 7:32 am
Se le puede instalar, de hecho lo llevan de serie, pero ese antivirus es para escalera el contenido de. dentro del NAS, no par poder monitorear los ordenadores.
junio 5, 2017 @ 11:52 am
Hola Mac Josan.
Desde hace días al intentar actualizar el SRM del router RT1900AC me da el siguiente error:
Error de la conexión, compruebe su conexión a Internet
Tengo la versión SRM 1.1.4 – 6509
Sabes cual podría ser la causa.
Gracias