Das Sicherheitsvorfall-Reaktionsteam von Synology, das Synology PSIRT, hat in den letzten Tagen besorgniserregende Berichte über einen Anstieg der Brute-Force-Angriffe gegen die NAS-Server des Herstellers. Dieser Anstieg der Brute-Force könnte darauf zurückzuführen sein, dass es ein Botnet gibt, das sich speziell darauf konzentriert, Ihre Geräte mit Brute-Force anzugreifen, um sie zu hacken und auf alle Daten zuzugreifen. Haben Sie ein Synology-NAS? Dann sind Sie daran interessiert, alles über diesen Angriff zu erfahren.
Was ist ein Brute-Force-Angriff?
Ein Brute-Force-Angriff besteht darin, alle möglichen Kombinationen von Benutzern und Passwörtern zu testen, mit dem Ziel, unrechtmäßig in ein System einzudringen. Normalerweise verfügen NAS-Server über Tools, um Brute-Force-Angriffe abzuwehren, indem beispielsweise die Anzahl der fehlgeschlagenen Passwörter für einen bestimmten Benutzer begrenzt wird. Wenn der Schwellenwert überschritten wird, könnte dieser Benutzer automatisch gesperrt werden, bis der Administrator es entsperrt. Eine andere sehr häufige Konfiguration besteht darin, die Quell-IP-Adresse zu blockieren, die Dutzende oder Hunderte von Versuchen unternimmt, das System mit einem bestimmten Benutzernamen und Passwort zu betreten.
Wenn wir von einem Botnet sprechen, das Brute-Force-Angriffe ausführt, bedeutet dies, dass wir mehrere Quell-IP-Adressen haben, die versuchen, in unser Betriebssystem einzudringen Ursprungs-IP oder mehrere, aber die Angriffe werden von anderen IP-Adressen ausgehen, die wir nicht blockiert haben.
Was weiß Synology über diesen Angriff?
Das Security Incident Response Team von Synology hat keinen Hinweis darauf gefunden, dass das Botnet versucht, eine Sicherheitslücke im Betriebssystem auszunutzen, daher wären wir im Prinzip vor möglichen Sicherheitslücken geschützt. Dieser Angriff versucht derzeit, die Administratoranmeldeinformationen auf den NAS-Servern des Herstellers zu kompromittieren. Im Erfolgsfall wird eine Malware installiert, die Ransomware enthalten könnte, um alle unsere Dateien auf dem NAS-Server zu verschlüsseln.
Natürlich kann ein infiziertes Gerät auch andere Angriffe ausführen, beispielsweise Brute-Force-Angriffe auf andere Synology-Server, die bisher nicht kompromittiert wurden. Das Synology PSIRT-Team arbeitet daran, so viele Informationen wie möglich zu erhalten und versucht, alle C&C-Server (Command and Control) herunterzufahren, die diesen Angriff verursacht haben, und gleichzeitig Clients zu benachrichtigen, die betroffen sein könnten.
Sicherheitsempfehlungen zu befolgen
Die Empfehlungen von Synology umfassen Überprüfung der Passwortrichtlinie und Passwörter von Administratorbenutzern, die nach schwachen Anmeldeinformationen suchen. Es ist auch ratsam, Aktivieren Sie die zweistufige Authentifizierung um die Sicherheit des Administrationskontos zu verbessern und sogar die automatische Sperrung verschiedener Benutzer zu ermöglichen, wenn das Passwort bei vielen Gelegenheiten falsch eingegeben wird.
Aus diesem Artikel empfehlen wir außerdem Folgendes:
- Schließen Sie alle Ports Ihres Routers, zumindest vorübergehend, außer denjenigen, die Sie benötigen, ja oder ja wie bei VPNs.
- Wenn Sie auf Synology NAS zugreifen müssen, verwenden Sie nur a VPN mit dem entsprechenden Port geöffnet.
- Setzen Sie die Management-Webschnittstelle nicht dem Internet aus, da dies ein Angriffsvektor sein könnte.
- Überprüfen Sie alle aktuellen Aktivitäten auf Ihrem NAS-Server auf abnormales Verhalten.
- Machen Sie ein 3-2-1 Backup Ihrer Daten.
In diesem Artikel informieren wir Sie über alle Neuigkeiten zu diesem Brute-Force-Angriff, der Synology-Server betrifft.
