[English]Aktuell gibt es eine Warnung von NAS-Anbietern wie QNAP und Synology. Diese haben verstärkt Angriffe auf ihre Systeme per Brute-Force oder Versuche, der Ausnutzung von Exploits, festgestellt. Die Laufwerke werden im Erfolgsfall per Ransomware verschlüsselt.
Anzeige
Warnung von Synology
Mir liegt ein Textauszug (danke an @PhantomofMobile dafür) vor, in dem Synology direkt vor einem solchen Angriff warnt.
Synology has recently received several reports of encryption-based ransomware attacks. After investigation, these incidents were part of a large-scale attack targeting NAS devices from various vendors leveraging brute-force attempts at logins instead of system vulnerabilities. Therefore, Synology strongly recommends all users check if the measures below are in place to secure your accounts.
Der Sicherheitshinweis ist auch auf Facebook abrufbar – die Botschaft: Der Hersteller hat koordinierte Brute-Force-Angriffe gegen Synology Geräte beobachtet, die Teil einer groß angelegten Kampagne zum Angriff auf NAS-Geräte sind. Es handelt sich hierbei nicht um eine Hacker-Attacke. Vielmehr ist ein Bot am Werk, der unzählige Passwörter ausprobiert, um Zugriff auf Euer System zu erhalten. Der Hersteller gibt folgende Tipps, um das alles besser abzusichern.
- Erstellen Sie einen neuen Account mit Administrator-Rechten und deaktivieren Sie das Standardkonto "admin" (siehe auch hier).
- Verwenden Sie ein komplexes und sicheres Passwort und wenden Sie die Regeln für die Passwortstärke auf alle Benutzer an.
- Aktivieren Sie die 2-Faktor-Authentifizierung, um Ihrem Konto eine zusätzliche Sicherheitsebene hinzuzufügen.
- Aktivieren Sie Auto Block in der NAS-Systemsteuerung und führen Sie den Sicherheits-Advisor (Sicherheitsberater) aus, um sicherzustellen, dass es kein schwaches Passwort im System gibt.
- Aktivieren Sie die Firewall in der Systemsteuerung und erlauben Sie nur öffentliche Ports für die erforderlichen Dienste.
Die englischsprachige und die deutsche Beschreibung unterscheiden sich etwas in ihrer Ausführlichkeit. Deutschsprachigen Benutzern empfiehlt der Hersteller, falls man bereits betroffen sei oder die Vermutung hat, folgende Schritte auszuführen:
- Stoppt unmittelbar alle Backup-Jobs und geplante Backup-Aufgaben
- Führt einen Reset des Synology NAS durch und stellt es durch eine ältere Backup-Version wieder her.
Zusätzlich zu den oben beschriebenen Einstellungen für die Netzwerk- und Kontoverwaltung empfehlen die Hersteller, die NAS-Geräte bzw. deren Firmware auf dem neuesten Stand zu halten und Ihre Daten mit der integrierten Snapshot-Replikation oder Hyper Backup zu schützen, falls eine Wiederherstellung erforderlich ist. Weitere Informationen zum Schutz Ihres NAS vor verschlüsselter Ransomware finden sich unter https://www.synology.com/solution/ransomware.
Anzeige
Auch QNAP warnt
Laut diesem Artikel bei heise.de warnt auch der Hersteller QNAP vor verstärkten Angriffen auf seine Geräte durch eine "eCh0raix" genannte Ransomware. Sicherheitsanbieter Anomali beschreibt in diesem Dokument vom 10. Juli 2019 diese Malware.
Die Malware verwendet Brute-Force-Angriffe auf die Webinterfaces dieser Geräte, um eventuell mit schwachen Passwörter gesicherte Installationen zu kompromittieren. Im Erfolgsfall werden alle Dateien auf dem NAS verschlüsselt und die Ransomware legt einen Hinweis ab, wo der Benutzer zahlen darf.
Auch QNAP hat hier Handlungsempfehlungen zur besseren Absicherung gegeben. In diesem Kommentar gibt ein heise-Leser noch einige Hinweise zu den Einstellungen.
Ähnliche Artikel:
Synology NAS: Freigabe ohne Zugangsdaten erreichbar?
QNAP-NAS und die gekaperten Hosts-Einträge
Bug in Netatalk-Software gefährdet u.a. Synology NAS-Speicher
Kritische Sicherheitslücken in NAS-Modellen (WD, NetGear, SeaGate, Medion)
NAS: QNAP und Synology von Meltdown/Spectre betroffen
Anzeige
Moin,
waren nicht auch manche Fujitsu-Modelle (Fujitsu Celvin NAS) umgelabelte QNAP?
Sind diese evtl. auch anfällig?
Gruß
Zur ersten Frage: Ja.
Vielleicht sollte man bei solchen Meldungen erwähnen, dass es die Geräte betrifft, die aus dem internet erreichbar sind.
Hallo,
wird der Angriff auch lokal im Netzwerk versucht? Habe da noch ein paar admin/admin Kandidaten, leider laufen da auch Shares und Scan2SMB drüber.
Gruss
Spontan würde ich sagen: Bots sitzen nicht in deinem Netzwerk – und wenn ja, dann ist eh alles zu spät – oder was habe ich übersehen?
2FA auf der Synology ist ja alles schön und gut, wenn es denn dafür auch wie bei anderen Anbietern sogenannte APP-Kennwörter geben würde. Aktiviere ich 2FA und habe auf einem Account der Admin Rechte hat eine Mailbox am laufen die ich im internen Netz per IMAP einbinde, so kann keine Software mehr darauf zugreifen, da nur noch ein Access-Denied kommt. Das Passwort ist zwar richtig, aber es gibt kaum Apps die überhaupt 2FA unterstützen.
Bei Synology ist es z.b. nicht möglich einzelne User der Admin Gruppe vom 2FA als Ausnahme zu definieren. wenn 2FA eingeschaltet wird, dann für alle User der Admin Gruppe !