Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties
Submitter: marcel87

Synology heeft met het uitbrengen van een software-update voor zijn nas-systemen een lek gedicht dat kwaadwillenden in staat stelde om stiekem bitcoins te minen op het apparaat. Gebruikers klaagden dat bepaalde processen hun rekenkracht opsnoepten.

De bewuste update voor nas-systemen die op de DiskStation Manager-software van Synology draaien werd aangekondigd in een e-mail aan gebruikers, waarvan door Tweaker marcel87 een screenshot online is gezet. Inmiddels is de software in het download center op de site van Synology verschenen. In de changelog geeft de maker aan dat de update malware van de systemen verwijdert die eerder door een beveiligingslek kan zijn verkregen. Daarbij worden specifiek processen zoals minerd en verscheidene PWNED-varianten genoemd.

Vorige week bleek dat nas-systemen van Synology vatbaar zijn voor malware die op de achtergrond bitcoins vergaart. Overigens zou de software ook speuren naar inloggegevens en wachtwoorden. De problemen werden geconstateerd nadat gebruikers aangaven dat zij last hadden van een trage nas. Kort daarna gaf de fabrikant al aan de problemen te onderzoeken. De problemen zitten in versie 4.x van de DiskStation Manager-software die Synology voor zijn nas-systemen heeft ontwikkeld.

Lees meer over

Gerelateerde content

Alle gerelateerde content (21)
Moderatie-faq Wijzig weergave

Reacties (44)

Had vandaag ook een email van Synology.
Dear Synology users,

Synology® confirmed known security issues (reported as CVE-2013-6955 and CVE-2013-6987) which would cause compromise to file access authority in DSM. An updated DSM version resolving these issues has been released accordingly.
The followings are possible symptoms to appear on affected DiskStation and RackStation:

Exceptionally high CPU usage detected in Resource Monitor:
CPU resource occupied by processes such as dhcp.pid, minerd, synodns, PWNED, PWNEDb, PWNEDg, PWNEDm, or any processes with PWNED in their names
Appearance of non-Synology folder:
An automatically created shared folder with the name “startup”, or a non-Synology folder appearing under the path of “/root/PWNED”
Redirection of the Web Station:
“Index.php” is redirected to an unexpected page
Appearance of non-Synology CGI program:
Files with meaningless names exist under the path of “/usr/syno/synoman”
Appearance of non-Synology script file:
Non-Synology script files, such as “S99p.sh”, appear under the path of “/usr/syno/etc/rc.d”
If users identify any of above situation, they are strongly encouraged to do the following:

For DiskStation or RackStation running on DSM 4.3, please follow the instruction here to REINSTALL DSM 4.3-3827.
For DiskStation or RackStation running on DSM 4.0, it’s recommended to REINSTALL DSM 4.0-2259 or onward from Synology Download Center.
For DiskStation or RackStation running on DSM 4.1 or DSM 4.2, it’s recommended to REINSTALL DSM 4.2-3243 or onward from Synology Download Center.
For other users who haven’t encountered above symptoms, it is recommended to go to
DSM > Control Panel > DSM Update page, update to versions above to protect DiskStation from malicious attacks.

Synology has taken immediate actions to fix vulnerability at the point of identifying malicious attacks. As proliferation of cybercrime and increasingly sophisticated malware evolves, Synology continues to casting resources mitigating threats and dedicates to providing the most reliable solutions for users. If users still notice their DiskStation behaving suspiciously after being upgraded to the latest DSM version, please contact security@synology.com.

Sincerely,
Synology Development Team
Heb er zelf gelukkig geen last van gehad ;)
Is er iets bekend over hoe deze systemen besmet zijn geraakt of heb ik er over heen gelezen?
Geen idee of jij er overheen hebt gelezen. Vorige week deed Tweakers een nieuwsbericht over de gevoeligheid voor het miningvirus en het actief misbruik van de Syno NAS-en. ( zie: nieuws: Nas-systemen van Synology worden via lek misbruikt voor minen bitcoins )
Mijn gut-feeling is dat het iets met dat Quick-Connect te maken heeft. De enige mededeling voor mijn oude DS508 was namelijk dat ik de update moest installeren om Quick-Connect te kunnen blijven gebruiken. Ik gebruik het niet en had geen last van miners. Maar misschien is het wel iets anders.
10 jaar minen om 1 coin binnen te harken :P
Ja, maar stel je nu eens voor op een paar duizend systemen.
Jup. Eentje is gerommel in de marge, 1000 begint toch interessant te worden. Gezien de waarde van 1 bitcoin is het voor malware schrijvers interessant om malware dat bitcoin minen kan. Het blijft voor veel onervaren gebruikers toch onopvallend dan behalve het gevoel dat alles zo traag is.

[Reactie gewijzigd door Jism op 19 februari 2014 03:13]

En erg vervelend als het op jouw NAS gebeurt.
Het lijkt me inderdaad ook weinig zinvol. Alleen als je heel veel van dit soort machinetjes in je beheer hebt dan kom je toch gratis aan Bitcoins. Net als nieuws: 'Door Yahoo verspreide malware werd gebruikt voor Bitcoin-mining' waar gewoon allerlei machines werden geïnfecteerd. Het lijkt me handiger om zo'n stukje malware in iets te stoppen wat met games te maken heeft. In dat geval weet je dat de gebruiker tenminste een redelijke grafische kaart heeft.
Maar een NAS staat veelal 24/7 te draaien, en een game machine niet.
Is er eigenlijk al bekend welke account er was gekoppeld aan de miner?
Gisteren ook de mail ontvangen, had er zelf geen last van omdat ik op al mijn synology's de meest recente beta draai (aanrader trouwens). Wel heel netjes dat het zo per mail naar je verzonden wordt, bij normale updates gebeurd dat niet en dit bewijst maar al te goed hoe synology hiermee omgaat en hoe serieus ze het nemen.

Veel andere bedrijven hadden dit niet zo naar de klanten verzonden, is ook voor het eerst in jaren dat ze mij een mail sturen, maar hulde, dit geeft veel vertrouwen (dat bijna iedere synology gebruiker al had). Hoop dat alle bedrijven het op deze manier oppakken, dat zou het heel wat fijner maken en veel ellende voorkomen.
Heb je ook een update van de beta gekregen? Misschien zit de bug daar nog wel in... :)

Overigens wel OK, heb ook een update voor mijn oude 508!
4 dagen terug al een update gedraaid (aangezien versie 5 eraan komt, echt goed dat ze de bug even gefixt hebben), gisteren mailtje gehad.

Top service van Synology.
Ik had hier 3/4 maanden geleden al last van, proces minerc (zoiets) nam 25% CPU in beslag, ook bij andere personen met een synology, nadat ik update had gedraaid was het over
".. dat stiekem minen van bitcoins op nas mogelijk maakte"..

eh...?

"..dat het stelen van al je persoonlijke gegevens mogelijk maakte"..

much better.
Geen mail gezien, zou niet weten ook of ik me daar wel voor heb aangemeld. Waar kan je dat doen?

Edit: waarschijnlijk hier: https://myds.synology.com/support/register_form.php?lang=nld

[Reactie gewijzigd door Joster op 19 februari 2014 11:32]

Beetje laat? Version: 4.3-3827 (2014/2/14)

Ik heb hem namelijk ook 4 dagen geleden al geinstalleerd.

-edit-
-1 staat voor ongewenst, het is toch in ieder geval ontopic? :?

[Reactie gewijzigd door heggico op 18 februari 2014 22:50]

Je kunt altijd nieuws submitten als je het nog niet hebt gezien op T.net: http://tweakers.net/etc?Action=Newssubmit
Kijk die meukupdate had ik gemist en wellicht wel meer mensen. Heb alleen mijn mailbox in de gaten gehouden, toevallig zag ik vanmorgen de patch van Syno. Toch dermate belangrijk nieuws vond ik omdat een misbruik door een miningvirus niet de bedoeling kan zijn.

In die meukupdate die jij linkt stond inderdaad ook op de site van Syno. Maar daaraan kon ik echter niet direct ontdekken of deze of een eerdere patch al het virus zou tegengaan, omdat de specifieke procesnamen niet zijn genoemd. Enkel de CVE code, maar die is ook al zo specialistisch dat ik daar weinig aan kon ontdekken. In de mail werden echter de processen specifiek genoemd, zoals te zien is in de screenshot uit bovenstaand artikel of in het bericht Nemmarith hieronder. Vandaar alsnog de submit.
Het staat in de Release Notes van deze update.
Het lek wordt gedicht en als je al gehackt was wordt de malware verwijderd.
Het is niet de verantwoordelijkheid van Tweakers.net om jouw software up to date te houden. Je kan zelf prima op de meuktracker kijken (die hier eigenlijk voor bedoeld is), of gewoon op de website van de fabrikant, als het echt zo belangrijk is.

On topic: Vraag me af wat het praktisch nut is van het minen voor bitcoins op zo'n zwak ARM CPUtje, zelfs mijn desktop CPU is er nog te traag voor en eigenlijk mijn twee high end videokaarten ook.

Weet je wat ik mij afvraag? Hoeveel smartphone apps er stiekem een miner in de achtergrond draaien op een losse thread van dezelfde executable. Smartphones hebben GPUs die er veel meer geschikt voor zijn, en daarbij is er niemand die het gaat opmerken dat een game die toch al 100% CPU gebruikt zoiets aan het doen is, zelfs al zouden ze een task manager side by side draaien met een applicatie (waarvan ik vrij zeker weet dat niemand dat doet). En voor diegenen die denken dat zoiets nooit zou gebeuren: http://icoplay.com/plugins/ De software libs bestaan al, nu de apps nog...
Nou, de nieuwswaarde is eigenlijk dat de patch nu ook voor oudere modellen beschikbaar is, zoals voor mijn DS209 met DSM versie 4.2.3243. Dit betekend dat ze de oudere DS-en niet vergeten en dat vind ik een dikke duim omhoog waard!
Vind wel vervelend dat ze een re-instal willen i.p.v. gewoon een update :/
Als je goed leest zie je dat voor de meeste Nassen (hangt van ouderdom en geinstalleerde firmware af) een update volstaat.
Ik lees alleen dat alle systemen met 4.1/4.2/4.3/4.4 een REINSTAL nodig hebben. Die van mij heeft 4.2 en moet dus een REINSTAL doen.
Ik lees nergens dat ik een back up moet maken van data. Sowieso heb ik nergens voldoende opslag om alle data te kopiëren. Maar weten jullie of ik wel van SickBeard/Couchpotato e.d. een back-up moet maken?

--edit--

Ik denk van alles een back-up damaakt te hebben wat kon, hopen dat ik nu niets over het hoofd gezien heb en te veel geback-up-ed heb :)

[Reactie gewijzigd door RedRayMann op 22 februari 2014 17:48]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True