Navigate
X

Detectada una grave vulnerabilidad en Synology

Synology ha informado de una grave vulnerabilidad (CVE-2017-7494) que permite a un atacante acceder en remoto a nuestro NAS y cargar una biblioteca para tomar el control del servidor NAS.
Hace unos días os comenté la aparición de un grave problema de seguridad en QNAP y hoy le ha tocado a Synology.
La puerta de entrada de este malware es a través del puerto SAMBA (445), al igual que ocurriera con el famoso gusano-ransomware wannacry como ya te comenté en el podcast especial que dediqué al tema.
Las versiones  afectadas del sistema operativo de Synology por este problema son: DSM 6.0 y DSM 6.1 para los  NAS y SRM 1.1 para los routers de dicha marca.

Método de infección

Si tenemos el puerto SMB 445 accesible desde el exterior, es decir, si tenemos el puerto 445 abierto en el router para la IP del NAS, cualquiera podría acceder a una carpeta compartida con permisos de escritura y a través de un exploit subir una librería, que una vez en memoria a través de una ejecución de código obtendría el control del equipo.

Esta vulnerabilidad está presente desde la versión 3.x de SMB en adelante y afecta a varios sistemas operativos como Ubuntu 16.04 LTS x86_64 o DSM de Synology.

Aunque ya está solucionado para las versiones SAMBA 4.4.14, 4.6.4 y 4.5.10, en Synology deberemos esperar a que la marca saque los correspondientes parches de seguridad.

Según ha indicado Synology en breves días publicará las actualizaciones para DSM 6.1 (6.1.1-15101-04) y DSM 6.0 (6.0.3-8754-1) para solucionar este problema

Solución provisional

Hasta contar con la actualización correspondiente podemos tomar unas sencillas medidas para evitar infectarnos.

En primer lugar no debemos tener el puerto SAMBA expuesto al exterior, por lo que deberemos mantenerlo cerrado en el router para que el cortafuegos deniegue el acceso a cualquier persona ajena a la red local.

Por otro lado, si tenemos la necesidad de tener este puerto abierto, bastará con denegar el permiso de escritura y dejar sólo permiso de lectura. De esta manera a el atacante no podrá escribir el archivo necesario para lanzar el ataque y por lo tanto no podrá ejecutarlo.

Como una medida general de seguridad es conveniente tener siempre cerrados todos los puertos que no utilicemos para minimizar posibles intrusiones.

También es aconsejable por el mismo motivo  activar sólo los servicios que vayamos a utilizar. Cuanto menor sea nuestra superficie de exposición menor es el riesgo de sufrir problemas de seguridad. Nunca sabemos qué vulnerabilidades nuevas pueden surgir.

Esperemos que Synology se dé prisa y pronto tengamos disponible la actualización.

Evolución

Por el feedback que estoy recibiendo parece que Synology está parcheando los equipos más rápido de lo esperado. Estate atento a las actualizaciones porque muchos modelos ya han recibido la actualización que soluciona esta vulnerabilidad.

Si tu modelo todavía está esperando el parche seguro que pronto lo recibirá.

 

 

 

Mac Josan:

View Comments (9)

  • Ofu, esperemos q la cosa se solucione pronto, aunque yo ese puerto no lo tengo configurado en el router.

    • Poco a poco van parchando los diferentes modelos de NAS. Parece que la cosa va rápida. Hay que estar atento a las actualizaciones.

  • Gracias por el aviso. En este momento acaban de lanzar un parche para corregir el problema, al menos para mi modelo.

  • MacJosan se podría instalar un antivirus en un NAS, o tendrías conectarte vía LAN y pasar el antivirus q tienes desde PC.? Sugerencia podrias hacer un vídeo.

    • Se le puede instalar, de hecho lo llevan de serie, pero ese antivirus es para escalera el contenido de. dentro del NAS, no par poder monitorear los ordenadores.

  • Hola Mac Josan.
    Desde hace días al intentar actualizar el SRM del router RT1900AC me da el siguiente error:
    Error de la conexión, compruebe su conexión a Internet
    Tengo la versión SRM 1.1.4 - 6509
    Sabes cual podría ser la causa.
    Gracias

This website uses cookies.