Detectada una grave vulnerabilidad en Synology

Synology ha informado de una grave vulnerabilidad (CVE-2017-7494) que permite a un atacante acceder en remoto a nuestro NAS y cargar una biblioteca para tomar el control del servidor NAS.
Hace unos días os comenté la aparición de un grave problema de seguridad en QNAP y hoy le ha tocado a Synology.
La puerta de entrada de este malware es a través del puerto SAMBA (445), al igual que ocurriera con el famoso gusano-ransomware wannacry como ya te comenté en el podcast especial que dediqué al tema.
Las versiones  afectadas del sistema operativo de Synology por este problema son: DSM 6.0 y DSM 6.1 para los  NAS y SRM 1.1 para los routers de dicha marca.

Método de infección

Si tenemos el puerto SMB 445 accesible desde el exterior, es decir, si tenemos el puerto 445 abierto en el router para la IP del NAS, cualquiera podría acceder a una carpeta compartida con permisos de escritura y a través de un exploit subir una librería, que una vez en memoria a través de una ejecución de código obtendría el control del equipo.

Esta vulnerabilidad está presente desde la versión 3.x de SMB en adelante y afecta a varios sistemas operativos como Ubuntu 16.04 LTS x86_64 o DSM de Synology.

Aunque ya está solucionado para las versiones SAMBA 4.4.14, 4.6.4 y 4.5.10, en Synology deberemos esperar a que la marca saque los correspondientes parches de seguridad.

Según ha indicado Synology en breves días publicará las actualizaciones para DSM 6.1 (6.1.1-15101-04) y DSM 6.0 (6.0.3-8754-1) para solucionar este problema

Solución provisional 

Hasta contar con la actualización correspondiente podemos tomar unas sencillas medidas para evitar infectarnos.

En primer lugar no debemos tener el puerto SAMBA expuesto al exterior, por lo que deberemos mantenerlo cerrado en el router para que el cortafuegos deniegue el acceso a cualquier persona ajena a la red local.

Por otro lado, si tenemos la necesidad de tener este puerto abierto, bastará con denegar el permiso de escritura y dejar sólo permiso de lectura. De esta manera a el atacante no podrá escribir el archivo necesario para lanzar el ataque y por lo tanto no podrá ejecutarlo.

Como una medida general de seguridad es conveniente tener siempre cerrados todos los puertos que no utilicemos para minimizar posibles intrusiones.

También es aconsejable por el mismo motivo  activar sólo los servicios que vayamos a utilizar. Cuanto menor sea nuestra superficie de exposición menor es el riesgo de sufrir problemas de seguridad. Nunca sabemos qué vulnerabilidades nuevas pueden surgir.

Esperemos que Synology se dé prisa y pronto tengamos disponible la actualización.

Evolución

Por el feedback que estoy recibiendo parece que Synology está parcheando los equipos más rápido de lo esperado. Estate atento a las actualizaciones porque muchos modelos ya han recibido la actualización que soluciona esta vulnerabilidad.

Si tu modelo todavía está esperando el parche seguro que pronto lo recibirá.