Synology dicht lek dat stiekem minen van bitcoins op nas mogelijk maakte

Synology heeft met het uitbrengen van een software-update voor zijn nas-systemen een lek gedicht dat kwaadwillenden in staat stelde om stiekem bitcoins te minen op het apparaat. Gebruikers klaagden dat bepaalde processen hun rekenkracht opsnoepten.

De bewuste update voor nas-systemen die op de DiskStation Manager-software van Synology draaien werd aangekondigd in een e-mail aan gebruikers, waarvan door Tweaker marcel87 een screenshot online is gezet. Inmiddels is de software in het download center op de site van Synology verschenen. In de changelog geeft de maker aan dat de update malware van de systemen verwijdert die eerder door een beveiligingslek kan zijn verkregen. Daarbij worden specifiek processen zoals minerd en verscheidene PWNED-varianten genoemd.

Vorige week bleek dat nas-systemen van Synology vatbaar zijn voor malware die op de achtergrond bitcoins vergaart. Overigens zou de software ook speuren naar inloggegevens en wachtwoorden. De problemen werden geconstateerd nadat gebruikers aangaven dat zij last hadden van een trage nas. Kort daarna gaf de fabrikant al aan de problemen te onderzoeken. De problemen zitten in versie 4.x van de DiskStation Manager-software die Synology voor zijn nas-systemen heeft ontwikkeld.

Door RoD

Admin Mobile

Feedback • 18-02-2014 18:41
44 • submitter: Aardwolf

18-02-2014 • 18:41

44 Linkedin

Submitter: Aardwolf

Lees meer

Synology dicht ernstige lekken in Download- en Video Station-software Nieuws van 9 september 2015
IoSafe en Synology brengen waterdichte en brandveilige nas uit Nieuws van 6 januari 2015
Synology voorziet DS2015xs en DS3615xs van 10Gbit/s-ethernetaansluitingen Nieuws van 9 december 2014
Synology brengt DS215j op de markt Nieuws van 25 november 2014
Synology biedt tot 48TB opslag met DiskStation DS1815+ Nieuws van 6 november 2014
Synology zet specificaties DS1515+ online Nieuws van 5 november 2014
Synology brengt bèta uit van DiskStation Manager 5.1 Nieuws van 23 september 2014
Specificaties van Synology DS415+nas komen online Nieuws van 17 september 2014
Synology komt met single-bay DS115j-nas Nieuws van 4 september 2014
F-Secure helpt slachtoffers SynoLocker bestanden te ontsleutelen Nieuws van 22 augustus 2014
Ransomware richt zich op Synology-opslagsystemen Nieuws van 4 augustus 2014
Onderzoekers vinden beveiligingslekken in wachtwoordmanagers Nieuws van 11 juli 2014
Gekaapte nas-systemen leveren half miljoen euro aan dogecoins op Nieuws van 18 juni 2014
Synology toont DS415play-mediacenter en DS215air-nas Nieuws van 5 juni 2014
Microsoft Research werkt aan alternatief voor bitcoin Nieuws van 4 juni 2014
Synology komt met compacte DS414slim-nas Nieuws van 27 mei 2014
Synology komt met embedded nas voorzien van sdxc-kaartlezer Nieuws van 29 april 2014
Politie pakt Nederlander met bitcoinmining-farm wegens witwassen - update 2 Nieuws van 2 april 2014
Man liet universiteitscluster met 14.000 cores stiekem Dogecoins minen Nieuws van 22 februari 2014
Nas-systemen van Synology worden via lek misbruikt voor minen bitcoins Nieuws van 11 februari 2014
Synology brengt bèta DiskStation Manager 5 uit Nieuws van 23 januari 2014
Meer producten en artikelen
Netwerkopslag Synology

Reacties (44)

-Moderatie-faq
44
38
25
4
0
5
Wijzig sortering
Nemmarith
18 februari 2014 18:53
Had vandaag ook een email van Synology.
Dear Synology users,

Synology® confirmed known security issues (reported as CVE-2013-6955 and CVE-2013-6987) which would cause compromise to file access authority in DSM. An updated DSM version resolving these issues has been released accordingly.
The followings are possible symptoms to appear on affected DiskStation and RackStation:

Exceptionally high CPU usage detected in Resource Monitor:
CPU resource occupied by processes such as dhcp.pid, minerd, synodns, PWNED, PWNEDb, PWNEDg, PWNEDm, or any processes with PWNED in their names
Appearance of non-Synology folder:
An automatically created shared folder with the name “startup”, or a non-Synology folder appearing under the path of “/root/PWNED”
Redirection of the Web Station:
“Index.php” is redirected to an unexpected page
Appearance of non-Synology CGI program:
Files with meaningless names exist under the path of “/usr/syno/synoman”
Appearance of non-Synology script file:
Non-Synology script files, such as “S99p.sh”, appear under the path of “/usr/syno/etc/rc.d”
If users identify any of above situation, they are strongly encouraged to do the following:

For DiskStation or RackStation running on DSM 4.3, please follow the instruction here to REINSTALL DSM 4.3-3827.
For DiskStation or RackStation running on DSM 4.0, it’s recommended to REINSTALL DSM 4.0-2259 or onward from Synology Download Center.
For DiskStation or RackStation running on DSM 4.1 or DSM 4.2, it’s recommended to REINSTALL DSM 4.2-3243 or onward from Synology Download Center.
For other users who haven’t encountered above symptoms, it is recommended to go to
DSM > Control Panel > DSM Update page, update to versions above to protect DiskStation from malicious attacks.

Synology has taken immediate actions to fix vulnerability at the point of identifying malicious attacks. As proliferation of cybercrime and increasingly sophisticated malware evolves, Synology continues to casting resources mitigating threats and dedicates to providing the most reliable solutions for users. If users still notice their DiskStation behaving suspiciously after being upgraded to the latest DSM version, please contact security@synology.com.

Sincerely,
Synology Development Team
Heb er zelf gelukkig geen last van gehad ;)
synoniem
18 februari 2014 19:36
Is er iets bekend over hoe deze systemen besmet zijn geraakt of heb ik er over heen gelezen?
Aardwolf
@synoniem18 februari 2014 20:11
Geen idee of jij er overheen hebt gelezen. Vorige week deed Tweakers een nieuwsbericht over de gevoeligheid voor het miningvirus en het actief misbruik van de Syno NAS-en. ( zie: nieuws: Nas-systemen van Synology worden via lek misbruikt voor minen bitcoins )
theMob
@synoniem18 februari 2014 22:08
Mijn gut-feeling is dat het iets met dat Quick-Connect te maken heeft. De enige mededeling voor mijn oude DS508 was namelijk dat ik de update moest installeren om Quick-Connect te kunnen blijven gebruiken. Ik gebruik het niet en had geen last van miners. Maar misschien is het wel iets anders.
MaDLiVe
18 februari 2014 18:48
10 jaar minen om 1 coin binnen te harken :P
CorePax
@MaDLiVe18 februari 2014 18:51
Ja, maar stel je nu eens voor op een paar duizend systemen.
Jism
@CorePax19 februari 2014 03:12
Jup. Eentje is gerommel in de marge, 1000 begint toch interessant te worden. Gezien de waarde van 1 bitcoin is het voor malware schrijvers interessant om malware dat bitcoin minen kan. Het blijft voor veel onervaren gebruikers toch onopvallend dan behalve het gevoel dat alles zo traag is.

[Reactie gewijzigd door Jism op 19 februari 2014 03:13]

ckr
@CorePax18 februari 2014 19:45
En erg vervelend als het op jouw NAS gebeurt.
Anoniem: 16328
@MaDLiVe18 februari 2014 18:57
Het lijkt me inderdaad ook weinig zinvol. Alleen als je heel veel van dit soort machinetjes in je beheer hebt dan kom je toch gratis aan Bitcoins. Net als nieuws: 'Door Yahoo verspreide malware werd gebruikt voor Bitcoin-mining' waar gewoon allerlei machines werden geïnfecteerd. Het lijkt me handiger om zo'n stukje malware in iets te stoppen wat met games te maken heeft. In dat geval weet je dat de gebruiker tenminste een redelijke grafische kaart heeft.
TheOmen
@Anoniem: 1632819 februari 2014 08:44
Maar een NAS staat veelal 24/7 te draaien, en een game machine niet.
miniBSD
@MaDLiVe18 februari 2014 21:34
Is er eigenlijk al bekend welke account er was gekoppeld aan de miner?
Anoniem: 32279
18 februari 2014 18:55
Gisteren ook de mail ontvangen, had er zelf geen last van omdat ik op al mijn synology's de meest recente beta draai (aanrader trouwens). Wel heel netjes dat het zo per mail naar je verzonden wordt, bij normale updates gebeurd dat niet en dit bewijst maar al te goed hoe synology hiermee omgaat en hoe serieus ze het nemen.

Veel andere bedrijven hadden dit niet zo naar de klanten verzonden, is ook voor het eerst in jaren dat ze mij een mail sturen, maar hulde, dit geeft veel vertrouwen (dat bijna iedere synology gebruiker al had). Hoop dat alle bedrijven het op deze manier oppakken, dat zou het heel wat fijner maken en veel ellende voorkomen.
theMob
@Anoniem: 3227918 februari 2014 22:05
Heb je ook een update van de beta gekregen? Misschien zit de bug daar nog wel in... :)

Overigens wel OK, heb ook een update voor mijn oude 508!
RobbyTown
18 februari 2014 18:59
4 dagen terug al een update gedraaid (aangezien versie 5 eraan komt, echt goed dat ze de bug even gefixt hebben), gisteren mailtje gehad.

Top service van Synology.
mroffbeat
18 februari 2014 19:17
Ik had hier 3/4 maanden geleden al last van, proces minerc (zoiets) nam 25% CPU in beslag, ook bij andere personen met een synology, nadat ik update had gedraaid was het over
atm0s
18 februari 2014 21:52
".. dat stiekem minen van bitcoins op nas mogelijk maakte"..

eh...?

"..dat het stelen van al je persoonlijke gegevens mogelijk maakte"..

much better.
Joster
19 februari 2014 11:29
Geen mail gezien, zou niet weten ook of ik me daar wel voor heb aangemeld. Waar kan je dat doen?

Edit: waarschijnlijk hier: https://myds.synology.com/support/register_form.php?lang=nld

[Reactie gewijzigd door Joster op 19 februari 2014 11:32]

heggico
18 februari 2014 18:45
Beetje laat? Version: 4.3-3827 (2014/2/14)

Ik heb hem namelijk ook 4 dagen geleden al geinstalleerd.

-edit-
-1 staat voor ongewenst, het is toch in ieder geval ontopic? :?

[Reactie gewijzigd door heggico op 18 februari 2014 22:50]

Anoniem: 16328
@heggico18 februari 2014 18:52
Je kunt altijd nieuws submitten als je het nog niet hebt gezien op T.net: http://tweakers.net/etc?Action=Newssubmit
jordeeeh
@Anoniem: 1632818 februari 2014 18:57
Op de Meuktracker was ie al wel gesubmit ;)
meuk: Synology Disk Station Manager 4.3 build 3827
Aardwolf
@jordeeeh18 februari 2014 20:08
Kijk die meukupdate had ik gemist en wellicht wel meer mensen. Heb alleen mijn mailbox in de gaten gehouden, toevallig zag ik vanmorgen de patch van Syno. Toch dermate belangrijk nieuws vond ik omdat een misbruik door een miningvirus niet de bedoeling kan zijn.

In die meukupdate die jij linkt stond inderdaad ook op de site van Syno. Maar daaraan kon ik echter niet direct ontdekken of deze of een eerdere patch al het virus zou tegengaan, omdat de specifieke procesnamen niet zijn genoemd. Enkel de CVE code, maar die is ook al zo specialistisch dat ik daar weinig aan kon ontdekken. In de mail werden echter de processen specifiek genoemd, zoals te zien is in de screenshot uit bovenstaand artikel of in het bericht Nemmarith hieronder. Vandaar alsnog de submit.
TonnyTonny
@Aardwolf18 februari 2014 23:24
Het staat in de Release Notes van deze update.
Het lek wordt gedicht en als je al gehackt was wordt de malware verwijderd.
Alex_dragon
@Aardwolf19 februari 2014 14:46
Het is niet de verantwoordelijkheid van Tweakers.net om jouw software up to date te houden. Je kan zelf prima op de meuktracker kijken (die hier eigenlijk voor bedoeld is), of gewoon op de website van de fabrikant, als het echt zo belangrijk is.

On topic: Vraag me af wat het praktisch nut is van het minen voor bitcoins op zo'n zwak ARM CPUtje, zelfs mijn desktop CPU is er nog te traag voor en eigenlijk mijn twee high end videokaarten ook.

Weet je wat ik mij afvraag? Hoeveel smartphone apps er stiekem een miner in de achtergrond draaien op een losse thread van dezelfde executable. Smartphones hebben GPUs die er veel meer geschikt voor zijn, en daarbij is er niemand die het gaat opmerken dat een game die toch al 100% CPU gebruikt zoiets aan het doen is, zelfs al zouden ze een task manager side by side draaien met een applicatie (waarvan ik vrij zeker weet dat niemand dat doet). En voor diegenen die denken dat zoiets nooit zou gebeuren: http://icoplay.com/plugins/ De software libs bestaan al, nu de apps nog...
ZFLaSH
@heggico19 februari 2014 07:36
Nou, de nieuwswaarde is eigenlijk dat de patch nu ook voor oudere modellen beschikbaar is, zoals voor mijn DS209 met DSM versie 4.2.3243. Dit betekend dat ze de oudere DS-en niet vergeten en dat vind ik een dikke duim omhoog waard!
Meessen
18 februari 2014 19:11
Vind wel vervelend dat ze een re-instal willen i.p.v. gewoon een update :/
SpeedingWilly
@Meessen18 februari 2014 19:18
Als je goed leest zie je dat voor de meeste Nassen (hangt van ouderdom en geinstalleerde firmware af) een update volstaat.
RedRayMann
@SpeedingWilly22 februari 2014 17:12
Ik lees alleen dat alle systemen met 4.1/4.2/4.3/4.4 een REINSTAL nodig hebben. Die van mij heeft 4.2 en moet dus een REINSTAL doen.
Ik lees nergens dat ik een back up moet maken van data. Sowieso heb ik nergens voldoende opslag om alle data te kopiëren. Maar weten jullie of ik wel van SickBeard/Couchpotato e.d. een back-up moet maken?

--edit--

Ik denk van alles een back-up damaakt te hebben wat kon, hopen dat ik nu niets over het hoofd gezien heb en te veel geback-up-ed heb :)

[Reactie gewijzigd door RedRayMann op 22 februari 2014 17:48]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee