Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties

Het Nederlandse beveiligingsbedrijf Securify heeft ernstige lekken in software van Synology gevonden. Via de kwetsbaarheden konden aanvallers root-toegang tot nas-systemen krijgen. Synology heeft de lekken gedicht.

Het lek in Synology Video Station kon op afstand misbruikt worden als gebruikers de public share-instelling hadden geactiveerd om video's te delen. Degene met wie een video gedeeld werd, kon het lek misbruiken om volledige toegang tot het nas-systeem te verkrijgen, vertelt Han Sahin van Securify. De kwetsbaarheid zat in het subtitle.cgi-script van de subtitle_codepage'-parameter en maakte code-injectie mogelijk. Securify vond echter ook verschillende sql-injectie-kwetsbaarheden waarmee de PostgreSQL-database van Video Station binnen te dringen was om zo verder toegang te verkrijgen.

In Synology's Download Station-software zaten diverse xss-kwetsbaarheden, ontdekte Securify verder. De lekken zaten in de 'Create download task via file upload'- en 'Create download task via URL'-opties van Download Station. Een aanvaller kon een speciaal vervaardigd torrentbestand met xss-payload aanmaken en als de Download Station-gebruiker dit importeerde, werd de payload in het browservenster geactiveerd. Op deze manier konden aanvallers sessie-tokens stelen, login-gegevens kapen en de gebruiker doorsturen naar sites met malware.

Volgens Sahin zijn lang niet alle nas-gebruikers zich ervan bewust dat hun opslagsysteem een verbindende schakel naar hun thuisnetwerk vormt en daarmee beveiligingsrisico's met zich meebrengt. Hij raadt gebruikers van de Synology-programma's aan hun software bij te werken naar de laatste versies, waarin de lekken gedicht zijn. Download Station en Video Station zijn beide ongeveer 7 miljoen keer geïnstalleerd.

Moderatie-faq Wijzig weergave

Reacties (45)

Qnap is geen haar beter. Deze draait de webserver als root, dus als je een gat hebt in een wordpress website op je QNAP NAS, kan een aanvaller je TimeMachine1 bestanden van je mac, alle inhoud van je NAS2 en system files3 aanpassen en bekijken.
Heb dit al verschillende keren gemeld, maar blijkbaar geven ze daar geen zak om security.

1 afbeelding webshell op QNAP NAS
2 afbeelding webshell op QNAP NAS
3 afbeelding webshell op QNAP NAS

[Reactie gewijzigd door lampstoelkast op 9 september 2015 15:24]

Voor Qnap heb ik net een whitelisting app geschreven, dat alle verbingingen van op het internet blokkeert, behalve de private subnet van de gebruiker + hosts dat de gebruiker wil toegang verschaffen.
In tegenstelling tot de standaard whitelist app kan je met mijn programma ook hostnames toevoegen zoals je backup server, of uptimerobot die je service op uptime controleerd, of dyndns clients voor clients die vaak van IP veranderen, bovendien kan je met mijn white list ook temporary tickets maken (een gebruiker 24 uur toegang geven bijvoorbeeld)
Je kan ook bijvoorbeeld enkel IP adressen van Belgie op je NAS toelaten voor risico's te beperken.

Het voordeel van whitelisting te gebruiken is dat de hele nas (alle services meteen allemaal beveiligd zijn, zo moet je niet schrik hebben van continue al de apps te moeten updaten tegen exploits)
Whitelisting is ook veel beter voor de performantie van je NAS, het word namelijk al geblokkeerd op de TCP/IP stack en Bruteforcing is niet mogelijk met deze methode.

De whitelisting komt dus als een extra bariere nog voor dat ze een gebruikersnaam of wachtwoord moeten invullen, hackers kunnen dus niet meer zien welke apps er draaien achter een bepaalde IP, tenzij ze vanop een ge-whiteliste IP komen, daardoor kunnen ze ook niet bruteforcen of exploits zoeken .

Ik heb de app gratis ter beschikking gesteld en zal er ééntje maken voor synology en dd-wrt binnenkort als er interesse is.

http://www.forum-nas.fr/viewtopic.php?f=21&t=2301

[Reactie gewijzigd door sebastienbo op 9 september 2015 16:07]

Ik heb veel bewondering en respect voor je werk,... Maar (remote) hostnames als authenticatie/beveiliging :X Nu ja, alles is beter dan niks.
Mij lijkt het principieel al fout dat je zo'n apparaat toegankelijk maakt vanop internet als dit vertrouwelijke zaken bevat.
Ik begrijp je, maar dat argument is eigenlijk foutief.

De meeste mensen kopen zulke nas net omdat ze hun gegevens niet op een publiekelijke cloud willen zetten, daarom kopen ze een eigen cloud device.

Hoe je het ook wilt, we leven in een moderne wereld waar we altijd toegang nodig hebben tot onze bestanden, daar niet aan mee doen maakt je veel minder flexibel als bedrijf en daardoor verlies je competitivteit tegenover je concurrenten die wel snel met bestaneden kunnen omgaan (sharing,collaboration, virtual machines,etc..)

Ik moet trouwens niet eens verdedigen dat cloud de toekomst is, je moet gewoon kijken wat de grootste booming business is op het internet (ja -> alles wat cloud is)

Het komt er dus eigenlijk op neer dat je wel vroeg of laat iets zal moeten delen, maar zorg dat je security hebt op meerdere niveaus.

Veel mensen denken dat een raid een backup is want als een schijf kapot gaat dan kan een andere overnemen -> fout backup is je gegevens compleet ergens anders opslagen (best op een andere site en met een historiek)
Analoog aan de vorige zin denken ook veel mensen dat een username en passwoord alles veilig maakt -> fout -> hackers zullen zwakheden zoeken zo dat je niet eens dat username en passwoord nodig hebt of ze zullen bruteforcen tot ze toch binnengeraken.

Veel mensen weten niet eens dat hun nas op het internet staat..hoe komt dat?
Simpel -> Als upnp standaard aan staat op je router en NAS, dan zal de NAS zelf al de juiste poorten openen op het internet... gemakelijk maar zeer gevaarlijk...

Ik denk dus niet dat je schrik moet hebben om je gegeven online te zetten, maar neem contact op met veiligheidsbedrijven zoals die van mij, en die kunnen je heel infrastructuur screenen op veiligheidsproblemen (firewalls,antivirussesn, nas'es,backups, websites, etc...) het is allemaal zeer complex, laat u dus zeker consulten of helpen bij die taak.

[Reactie gewijzigd door sebastienbo op 9 september 2015 16:23]

Ik heb geen nood aan je diensten, bedankt.
Dat gezegd zijnde, het verbaast me dat je als security consultant schijnbaar aanbeveelt gegevens online te zetten, zonder onderscheid in type data, gewenste vertrouwelijkheid of zelfs noodzaak.
Een eigen nas dan een private cloud noemen... Tja.

Ik denk eerder dat als je zo'n online nas oplossing gebruikt, je ervan moet uitgaan dat deze gebreached wordt (net zoals met een publieke webserver) en dus heel goed moet uitkijken wat erop komt.
Ik bood ook niet mijn diensten aan jou aan.

Ik zei gewoon dat je een security bedrijf moet inschakelen als je niet weet waar je mee bezig bent.

type data en vertrouwelijkheid zijn zaken die je pas bekijkt na de audit, het ging lauter over het feit dat je niet alles moet afsluiten van de wereld omdat er gevaar buiten is... waarom rij jij nog met een wagen? Dat is toch ook gevaarlijk ? Elk moment kan er een zatlap op je rijden...

Ik denk niet dat je in schrik moet leven en daarom je leven (of bedrijfsleven) moet beperken, je moet gewoon de juiste veiligheidsmaatregelen analyseren en voorkomen.

PS: het was geen aanval op jou (want je lijkt het persoonlijk opgenomen te hebben)
PS: het was geen aanval op jou (want je lijkt het persoonlijk opgenomen te hebben)
Neen hoor, ik ben het alleen niet helemaal met je eens ;)
Wat mij betreft is classificatie van data en daarmee overeenstemmende openbaarheid cruciaal voor een beveiligingsbeleid en helemaal geen symptoom van schrik, net zoals een veiligheidsgordel dragen niet duidt op angst. Voorzichtigheid (voorzorg) en angst zijn duidelijk verschillende dingen!

En wat bedoel je met 'na de audit'? Moeten er dan pas maatregelen genomen worden na een audit (of breach?). Ik denk dat beveiliging juist start bij design en integratie.
In het geval van zo'n consumer nasje lijkt het me niet onvertstandig na te denken over wat de gevolgen kunnen zijn van een breach. Daaruit volgt dat je niet zomaar alle data daarop moet stouwen. Backups, privé fotos, password db's, bankuitreksels en meer van dat leuks hoort dan ook niet thuis op publiek toegankelijke storage, hoe goed beveiligd ook.
Design & Integratie is als je van scratch begint.
Als er al infrastructuur is dan heb je Audit, Design & integratie

De audit gedeelte moet een high level beeld geven van wat er nu geďmplementeerd is, hoe alles samen moet werken (want je wil niets kapot maken) en dan een lijst opmaken met zwakheden en mogelijke oplossingen.

Op basis van dat audit rapport kan de klant beslissen welke risico's hij wil beperken en de welke hij accepteerd.

Je hebt zeer veel vormen van veiligheid en zo een audit gaat over elke aspect heen.
Zo kan zelf de physische toegang al een risico vormen of een waterkraan dat boven de nas hangt :-)

Als je dat allemaal graag onder controle hebt, dan kan je een CISSP certificaat afleggen (die gaat over alle mogelijk security risks heen)
https://www.isc2.org/cissp-domains/default.aspx
Maar hou je wel vast aan de takken van de bomen, toen ik uit dat examen kwam, had ik bijna een rolstoel nodig :-)
8 uur heeft dat examen geduurd...mijn ogen konden zich nog met moeite focussen op tekst op het einde :-) (sinds dit jaar is het nog maar 6 uur durend)
Je gaat ervan uit dat ik niet gecertifieerd ben?
Anyway, we gaan het niet eens worden, al hebben we beiden de juiste basis en ingesteldheid :)

[Reactie gewijzigd door the_stickie op 9 september 2015 22:09]

Lijkt me erg handig op zich.
Zeker veiliger dan gewoon maar openstellen.

Ik heb nu de toegang dicht staan, maar toegang via de OpenVPN server in m;n AC68U router.
Zou dit dan veilig genoeg zijn, of aan te raden om dit te combineren met jouw oplossing/app ?
Als je een openvpn op je router staan hebt, dan betekend het ook waarschijnlijk dat je services niet via internet bereikbaar zijn, dan kan je geen gebruik van mijn whitelist maken.

Als de openvpn op de nas stond, dan zou het wel combineerbaar zijn.
Of als de nas services ook gepubliceerd zijn op het internet (door port forwarding), dan ook is het combineerbaar.
Beste mede-tweakers,

Van veel van de 'aanhoudende lekken' heeft de hele linux-community last, dus ook Synology (bijv. openssl). En we draaien met z'n allen wel Wordpress want dat is zo handig.

"Alleen (OPEN)VPN?"
Niet alle aangeboden VPN oplossingen zijn even 'veilig' . En ook daar zijn lekken in geweest.

"Nou, dan zetten we het internet voor het NAS helemaal dicht".
Maar daarvoor heb ik dat ding niet gekocht! Dan zijn er goedkopere oplossingen voor off-line storage.

Ik leef volgens onderstaande regels:
- Installeer de laatste patches.
- Zet geen onnodige poorten open.
- Zet het NAS achter een hardware-matige firewall.
- Zorg voor 2-factor authenticatie.
- Check de logs.
- Ban IP's.
- Zet geen informatie op een internetverbonden apparaat waarvan je niet wilt dat het op internet beschikbaar komt.
- Hou er rekening mee dat je gehackt kunt worden.

En alle credits voor Synology voor 1. het snel oplossen en 2. het openbaar maken (en niet stiekeme update).

[Reactie gewijzigd door Theone098 op 9 september 2015 16:05]

Je kan ook best whitelisting doen in de plaats van blacklisting

Dan kunnen enkel de ip's die jij kiest binnen op je nas, dus dan zou een hacker enkel nog kunnen hacken vanop een IP die jij gekozen hebt, in de plaats van de 13 miljard ip's die nu op het internet actief zijn.

Dat geld ook voor je VPN, enkel jouw IP zal dan kunnen verbinden met je VPN, dat voelt toch pakke veiliger aan, nee? En je meot niet altijd IP's bannen, adminsitratief is het veel eenvoudiger.

[Reactie gewijzigd door sebastienbo op 9 september 2015 16:28]

Maar, dan moet je natuurlijk wel vaste IPs hebben. En dat is niet altijd het geval.
Zeker voor VPN lijkt me dat net niet wenselijk om te whitelisten, als je vanop verschillende locaties wil verbinden.

Synology kan IPs blokkeren per regio, wat wel een handige feature is.
Daar zou port knocking een oplossing voor kunnen zijn
Als je een beetje hoger kijkt in deze thread dan zal je zien dat ik een app ontwikkeld heb, die de whitelisting ook kan doen op basis van hostnames.

Je kan op al je roaming clients een dyndns client zetten en mijn app zal die updates opvolgen en het IP dus steeds op de whitelist plaatsen.

Ik gebruik daardoor ook geen IP's meer
Dit kan al met Synology dus daarvoor is deze app niet handig, tevens gaat dit nieuws over Synology en niet Qnap
Als je correct had gelezen dan zag je dat ik daar ook een versie voor schrijf.
En als je nog beter gelezen had dan had je ook gezien dat het meer doet dan wat synology of qnap kunnen doen.

Tenzij je me verteld dat synology met temporary whitelists kan werken? (iemand max 24u toegang geven)
En kan je met synology ook hostnames whitelisten? (zoals dyndns of een dns record)

Ik heb om mijn android een dyndns client die mijn public ip update zodra mijn gsm IP adres veranderd, mijn whitelist ziet dat het IP adres van die hostname veranderd is, en vervangt daarom het vorig IP adres door het nieuwe op de whitelist.

Zo kan alleen mijn gsm verbinden met mijn VPN

[Reactie gewijzigd door sebastienbo op 9 september 2015 18:08]

Ik verbind regelmatig mijn smartphone via bijv. DS audio of DS download met mijn Synology. Maar mijn 4g adapter heeft niet bepaald een statisch IP adres, ga dat maar eens whitelisten! Tenzij je het complete subnet van KPN mobiel wilt vrijgeven.
Dat is waarom ik nu net mijn app geschreven heb.
Mijn app laat toe om dns hostnames te whitelisten.
Als je dus op 4G aanlogd dan kan je dyndns op je gsm installeren, die zal automatisch je public ip steeds updaten mocht die veranderen.
De whitelist op zijn beurt zal ook die DNS verandering opmerkingen en het dus whitelisten.

Dus zelf on the go zou het werken.

Maar mijn app kan ook zonder dyndns werken, je kan bijvoorbeeld een externe server die je trust, kunnen laten whitelisten (omdat die ip niet veranderd) en daarop een script zetten die je ip whitelist als je die externe server bezoekt, zodra je bezoek geregistreerd is op de externe server, word je IP ge whitelist op je NAS (Dit komt eigenlijk neer op two-factor authentication)
Natuurlijk kan dat. Dat doe ik ook!
- Vaste IP adressen van familie (bijv. photostation) en het werk worden nooit gebanned.
- En zoals jordy-maes schrijft, gebruik ik geo-ip blocking voor regio's / landen waaruit ik helemaal geen verkeer wil. Alleen die landen waar ik kom (zakelijk of op vakantie) staan open.
- De rest van de wereld wordt bij het uithalen van rottigheid meteen gebanned, voor altijd.

Administratie? Welnee, 1x instellen en de Synology doet de rest :-) .
Dat bekend maken van het oplossen is toch juist positief en daardoor positieve publiciteit? Zo komt het over dat jij als bedrijf aandacht besteedt aan beveiligingsproblemen en je ze heel snel oplost. Of is dit te kort door de bocht?
Met die aanhoudende lekken bij Synology (ransomeware, SQL injecties etc.) heb ik besloten om mijn synology niet meer te delen buiten mijn netwerk.

Ik gebruik de NAS overigens alleen waarvoor ik hem heb aangeschaft: back-up. en dat doet hij goed.
Elk systeem heeft lekken en elk gevonden Synology lek wordt snel gepatched.
Met jouw filosofie kun je jezelf beter afsluiten van het grote boze internet.
Er bestaan geen lekvrije systemen. wel systemen waarbij lekken sneller gepatched worden dan anderen.
Tot de dag dat je eens met een zeroday issue zit... . Dan is basic boerenverstand security nog steeds de beste manier van voorkomen inplaats van genezen. Zachte heelmeesters maken stinkende wonden ;)
Geen idee wat je hiermee duidelijk wilt maken. Licht eens toe.

Elk systeem kent zijn zero days, dat is gewoon een lek dat nog niet bekend was.
Basis security ( en Synology heeft daar zelfs een fraaie tool voor: security advisor) dient iedere computer te hebben die aan het net hangt.
Volg het OSI model als je zorgt dat op Layer 3 & 4 al een hoop zaken niet mogelijk zijn dan is de kans al een veelvoud kleiner dat je ooit issues kan hebben inplaats van gewoon je box aan 't net te hangen met een any to any rule omdat dat "direct - lekker" werkt.

Dat is wat ik bedoel. Ik pas persoonlijk bij voorkeur 't principe toe van enkel zaken te installeren/configureren die nodig zijn. Wat er niet is kan ook niet stuk gaan of tot security issues leiden.

[Reactie gewijzigd door FilipV. op 9 september 2015 16:53]

Het probleem is alleen dat consumenten gewoon kiezen wat ze denken dat leuk is om te gebruiken.
Any to any lijkt me iets van het verleden. Synology heeft een security advisor om je juist bij dit soort zaken te helpen. Consumenten moet je waar mogleijk beschermen tegen foute keuzes.
Default values staan in principe veilig ( los van lekken uiteraard) al kan een consument ervoor kiezen alles inderdaad open te zetten. Dat is dan een bewuste actie.
Als je dat met je voordeur doet dan is ook de makelaar/woningbouwstichting/bouwer etc niet aansprakelijk.

Maar verder heb je natuurlijk gelijk: alleen dat aansluiten wat je nodig hebt en veilig kunt instellen.
Gewoon lekker OpenVPN aanzetten, en die poort alleen naar buiten gooien. (incl. extra cert. en keys.. google) Dan kom je niet zo maar meer binnen ;)
Heb net sinds kort een Synology maar na het lezen van deze berichtgeving en de comments toch maar al mijn extra functionaliteiten die ik ingesteld had maar niet echt nodig was, weer uit gezet. Wist niet dat dit een veel voorkomend probleem was, gelukkig had ik mijn DS toch eigenlijk merendeels voor opslagmedia en een simpele FTP server dus die extras mis ik niet echt.
Heb net sinds kort een Synology maar na het lezen van deze berichtgeving en de comments toch maar al mijn extra functionaliteiten die ik ingesteld had maar niet echt nodig was, weer uit gezet. Wist niet dat dit een veel voorkomend probleem was, gelukkig had ik mijn DS toch eigenlijk merendeels voor opslagmedia en een simpele FTP server dus die extras mis ik niet echt.
Dat is ALTIJD een goed advies. Ik kom met regelmaat mensen tegen die hun NAS eens een keer verbonden hebben en dat eigenlijk nooit gebruiken maar het niet uitzetten.
Mja, op zich ik had logging enabled en firewall rules dat alleen Nederland er bij kon. Daarnaast 2 way authentication, ip lock na 2 attempts for 7 dagen en automatisch push/mail berichten wanneer er bijzonderheden gebeurd. (Inloggen, failed inlog attempts enz), voor alle externe verkeer aparte user accounts gemaakt die geen access naar mijn prive data hebben en andere poorten dan de default gebruiken.

Op zich allemaal best practice.

Maar toch, ik ben het liever voor. :)

[Reactie gewijzigd door Robe90 op 9 september 2015 16:56]

Op de site van Securify is ook een screendump te zien waar wordt getoond dat Synology gebruik maakt van een PostgreSQL database. Dat is geen probleem, maar wat wel een probleem is, is het gebruik van een superuser, zeg maar root....

Dit soort systemen moet je mijden als de pest, beveiliging is totaal niet aan gedacht, is totaal niets mee gedaan.
Moet je dan de Synology of de 2 softwarepakketten updaten?
De packages worden afzonderlijk bijgewerkt, ze hebben dus een eigen update. Maar voor DSM 5.2. is onlangs Update 4 uitgekomen en het kan natuurlijk nooit kwaad om die ook bij te werken.
je bedoel dan zekker:
5.2.5592 update 4

Die is er alleen nog niet voor xpenology
Gisteravond gedaan, de Synologie en de 2 softwarepakketten updaten
In deze apps is jammergenoeg weer gekozen voor functionaliteit boven veiligheid. Liever een functie meer en minder security tests dan een mindere functionaliteit en meer beveiligingstesten.

Daar 'Video Station' en publiek sharen vooral een consumer functie is zal men hier wellicht voor bovenstaande strategie hebben gekozen.
Vind ik toch wel een zeer gemakkelijke conclusie. Je kan moeilijk op echt alles testen. En zoals met alle software die ooit bestaan heeft, bestaat en zal bestaan: er kunnen altijd bugs in zitten.

Wat ik belangrijker vind, is dat ze snel gedicht zijn

Je begint eerst met een stelling die maar als waarheid moet aangenomen worden door "... is ...gekozen voor" zonder bronnen. In je tweede alinea verander je van toon naar "... zal men wellicht ..."
In deze apps is jammergenoeg weer gekozen voor functionaliteit boven veiligheid. Liever een functie meer en minder security tests dan een mindere functionaliteit en meer beveiligingstesten.
Ik zou graag de keuze hebben. Dus niet het een of het ander, maar een optie om te kiezen wat het beste bij de specifieke toepassing van de NAS in kwestie past.
Die keuze heb je ook. Je kunt in DSM veel functies uitschakelen of niet gebruiken (in dit geval de 'Video delen' functie. Natuurlijk ook anderen slechts toegang geven tot de zaken die echt nodig zijn

Het zou nog beter zijn als vrijwel alles standaard uitgeschakeld is, maar ik vind dat Synology hierin best een redelijke middenweg volgt. In combinatie met snelle (en optioneel automatische) updates en tools zoals Security Advisor hebben ze een redelijk veilig platform gemaakt.
Update zojuist uitgevoerd :)
De clue blijft dat je nu tevreden bent omdat je geupdate hebt en je jezelf dus weer 'veilig' voelt maar dat blijft een illusie. Net zoals Punkbuster in 'nieuws: Synology dicht ernstige lekken in Download- en Video Station-software' al aangaf, je bent veel beter af om je NAS niet open te zetten naar het internet met uitzondering van een VPN connectie.
Is dit dezelfde 'Download Station' en 'Video Station' die door QNAP worden gebruikt?
Nee, Synology en QNAP ontwikkelen beide hun eigen applicaties. Het enige wat ze gemeen hebben is de naam.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True