Detectan una vulnerabilidad backdoor en varios dispositivos WD

Una vez más se ha detectado una vulnerabilidad grave en diferentes dispositivos de CloudOS de dispositivos NAs de Western Digital, concretamente los que funcionan con la versión de firmware 2.x (las versiones 04.x no están afectadas). Afortunadamente WD ya ha liberado la actualización que corrige el problema y se puede actualizar de forma automática o manual, siendo necesaria disponer de la 2.30.174 para estar a salvo del grave fallo de seguridad.

El fallo se resume en el mismo descubierto en sistemas DNS-320L de D-Link y que este fabricante parcheó en 2014 en su firmware 1.0.6 y que se centraba en la función multi_uploadify.php, posibilitando que un atacante subiese una petición usando el parámetro Filedat[0] y tuviese control sobre el NAS.

Los modelos afectados son los siguientes

MyCloud

MyCloudMirror

My Cloud Gen 2

My Cloud PR2100

My Cloud PR4100

My Cloud EX2 Ultra

My Cloud EX2

Mi Cloud EX4

My Cloud EX2100

My Cloud EX4100

My Cloud DL2100

My Cloud Cloud DL4100

A través de este link puedes verificar la versión de firmware de tu dispositivo y ver cómo actualizarlo en caso de ser vulnerable:

https://support.wdc.com/knowledgebase/answer.aspx?ID=10440#cloudos3

Fuente de la noticia aquí.

Leer más

Petya, Petwrap o NotPetya, el ransomware del mes

Ayer 27 de Junio entorno a las 13:00 comenzaron a caer varios sistemas en múltiples empresas, algunas por fallo crítico (encriptación de equipos) y otras por precaución ante infecciones puntuales, todo ello generando gran expectación por ser el gran ransomware después de WannaCry, y es que volvemos a suspender en temas de seguridad.

Desde grupos de Telegram veía comentarios de contactos donde varios equipos habían sido afectados, desde páginas de noticias se relataba como empresas, bancos y terminales de cajeros mostraban una pantalla solicitando el pago de 300$ en bitcoins para restablecer los datos, y es que seguimos tropezando con la misma piedra, sigue sin valorarse aspectos como seguridad o incluso respaldo de datos como medida de emergencia, priorizándose los ahorros en costes, pero resumamos qué ha hecho y cómo ha actuado este bicho.

¿Petya? ¿Petwrap? No, es una variante evolucionada bautizada como NotPetya.

Petya fue un ransomeware que surgió en marzo para aprovecharse de la misma vulnerabilidad EthernalBlue que se filtró del arsenal digital de la NSA americana, pero se han añadido algunas variaciones en su propagación.

¿Cómo entra NotPetya en la red local o corporativa?

El sistema parece que es el mismo usado por Petya, ingeniería social lo llaman, y es que se trata de un simple spam masivo enviando un correo de un supuesto candidato con un currículum y un par de fotos del mismo, robadas con total certeza pero que dejarán al pobre "héroe" en memoria de Google hasta la eternidad. 

La foto del falso candidato

Esta información era colgada en un enlace de dropbox con un autoejecutable que debería descomprimir el CV, también se comenta la posibilidad de existir un word con macros directamente colgado en esa nube personal, una vez descargado y ejecutaba comenzaba la fiesta.

La expansión una vez dentro de tu red

Al igual que WannaCry, NotPetya explotaba la vulnerabilidad CVE-2017-0144 y que fue parcheada en el boletín MS17-010, pero daba un paso más en la infección y añadía un segundo exploit badasado en otra vulnerabilidad marcada como CVE-2017-0145 y que fue corregida en el mismo boletín de MS.

Además de estos exploits este bicho gracias a una herramienta de dumping tipo LSADump o Mimikatz podía a credenciales que sirviesen en equipos remotos, los detectaba haciendo un barrido a través de los puertos TCP 139 y 445 y una vez localizados usaba PsExec o VMCI para la ejecución remota de código si conseguía el acceso.

La encriptación, el efecto inmediato sobre el equipo infectado

Tras una serie de comprobaciones de privilegios y ejecución el ransomware comenzaba la modificación del MBR del disco duro, no hacía una encriptación directa de los archivos si no que dejaba inutilizable el MBR normal y que provocaba la pérdida del indice y localización de ciertos ficheros, concretamente le interesaba la ubicación de las siguientes extensiones (la ubicación C:\Windows quedaba excluida del daño):

.3ds	.7z	.accdb	.ai
.asp	.aspx	.avhd	.back
.bak	.c	.cfg	.conf
.cpp	.cs	.ctl	.dbf
.disk	.djvu	.doc	.docx
.dwg	.eml	.fdb	.gz
.h	.hdd	.kdbx	.mail
.mdb	.msg	.nrg	.ora
.ost	.ova	.ovf	.pdf
.php	.pmf	.ppt	.pptx
.pst	.pvi	.py	.pyc
.rar	.rtf	.sln	.sql
.tar	.vbox	.vbs	.vcb
.vdi	.vfd	.vmc	.vmdk
.vmsd	.vmx	.vsdx	.vsv
.work	.xls	.xlsx	.xvd
.zip

Una vez completado el proceso se programaba el reinicio automático pasados los 10 minutos de la infección del equipo, tras el cual se vería un aparente pero falso proceso de comprobación de estado del disco (chkdsk).

Pasado este punto ya podíamos ver la famosa pantalla que se ha hecho viral desde ayer.

Aun así el sistema te permite el acceso a Windows, al menos en un modo bastante básico y por supuesto sin acceso a un volumen importante de los archivos.

No aprendemos la lección

La seguridad no es un añadido más, debe ser una prioridad en cualquier entorno personal y más profesional, y en los corporativos mejor ni hablamos, es una de las asignaturas suspendidas por muchas empresas de cualquier sector, pero debe ser complementado con la formación de los usuarios de tu negocio y siempre contar con un respaldo de cualquier dato que consideres relativamente importante o tenga un precio de horas o confidencialidad.

Más info en el techblog de MS.

Leer más

Vulnerabilidad críticas en todos los modelos WD My Cloud

Malas noticias para Western Digital en lo que se refiere a sus famosos NAS My Cloud, y es la publicación de vulnerabilidades críticas y muy graves que posibilitan el acceso no autorizado a los equipos, especialmente serio si lo tenemos accesible desde Internet.

Desde Exploitee.rs ha hecho públicas varios agujeros graves de seguridad que afectan a toda la serie My Cloud usando como banco de pruebas una unidad PR 4100, permitiendo el acceso, copia e incluso borrado de los archivos del equipo de forma malintencionada.

El motivo de la publicación de estas vulnerabilidades no es otro que la mala fama que ha cosechado WD en la comunidad referente a estos temas, donde ha demostrado lentitud y desidia para parchear los problemas que se han comunicado a WD en sus productos, de este modo se espera que la empresa toma medidas urgentes para corregir el problema.

La primera recomendación hasta que WD libere nuevos firmwares para corregir estos problemas es deshabilitar los accesos desde Internet y esperar que sus ingenieros se den prisa para solventar este grave problema de seguridad.

Solo recordar que los modelos afectados son toda la serie My Cloud que sería los

• My Cloud 
• My Cloud Gen 2 
• My Cloud Mirror 
• My Cloud PR2100 
• My Cloud PR4100 
• My Cloud EX2 Ultra 
• My Cloud EX2 
• My Cloud EX4 
• My Cloud EX2100 
• My Cloud EX4100 
• My Cloud DL2100 
• My Cloud DL4100

Leer más

Disponible firmware Synology DSM 5.0-4528

Durante el día de ayer Synology liberó una nueva versión del firmware para sus equipos NAS, situándose en la versión 5.0 build 4528.

Como grandes novedades se hace una recopilación de los parches y mejorar la seguridad de forma completa sobre los diferentes agujeros de seguridad que han salpicado a los sistemas basados en Linux y consola bash, además de corregir nuevos fallos de seguridad similares. 

Al ser una actualización especialmente enfocada a corregir problemas de seguridad está más que recomendada la actualización de nuestro NAS Synology.

Detalles sobre el changelog de DSM 5.0-4528:

What’s New

• This hotfix includes all bug fixes as well as security fixes in the previously released critical updates since DSM 5.0-4458.
• This hotfix will remove the current known malware on your Synology NAS.

Fixed Issues

• Fixed two Linux kernel vulnerabilities that could allow local users to cause a denial of service resulting in uncontrolled recursion or unkillable mount process (CVE-2014-5471 and CVE-2014-5472).
• Fixed one Linux kernel vulnerability that could allow local users to cause a denial of service or possibly gain privileges via a crafted application that triggers a zero count (CVE-2014-0205).
• Fixed one Linux kernel vulnerability that could allow man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate (CVE-2014-6657).
• Fixed one SNMP vulnerability where the improper validation of input could allow remote attackers to cause a denial of service (CVE-2014-2284).
• Implemented minor fixes related to the ShellShock Bash vulnerabilities previously addressed in DSM 4493-05 updates (Bash 4.2-51, 4.2-52, and 4.2-53).

Más info sobre el changelog aquí.

Leer más

QNAP libera su update QTS 4.1.1 Build 1003 (Shellsock 2ª parte)

QNAP ha vuelto a ponerse las pilas liberando ayer un nuevo update que termina de proteger sus equipos ante la famosa vulnerabilidad conocida como Shellshock, y es que pese a a haber liberado un update anterior (QTS 4.1.1 build 0927) que solucionaba parcialmente (no por la actualización oficial de desarrollo de la bash), pero esta actualización inicial solo corregía la vulnerabilidad inicial de Shellshock, cuando se trata de un total de 6 fallos de seguridad basados en la shell de Bash:

CVE-2014-6271 (parcheado parcialmente en QTS 4.1.1 build 0927

CVE-2014-6277
CVE-2014-6278
CVE-2014-7169
CVE-2014-7186
CVE-2014-7187

Por supuesto está más que recomendado la actualización de nuestro NAS QNAP lo antes posible para evitar sustos, y más cuando ya se tiene noticia de la explotación de estas vulnerabilidades y donde se ha tenido especial objetivo a dispositivos de este fabricante.

QNAP ha aprovechado este update para mejorar el comportamiento y estabilidad de su iSCSI cuando se ve sometido a gran volumen de peticiones de lectura/escritura.

Changelog QTS 4.1.1 Build 1003

• Fixed Bash security vulnerabilities with official GNU Bash patch update.(CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-7186, CVE-2014-7187, and CVE-2014-6278). 
• Improved iSCSI stability under heavy I/O activities.

Más info: http://www.qnap.com/i/es/product_x_down/firmware_log.php?kw=TS-269%20Pro%2FTS-269L&fsn=3669

Leer más

QNAP uno de los principales objetivos por el bug Shellshock

Tras la salida de la vulnerabilidad conocida como Shellshock era previsible que se intentasen explotar estos fallos de seguridad para el robo de datos, infección o control de equipos vulnerables, pero parece que dentro de sus objetivos, los disposivitos QNAP han despertado un importante interés para su hackeo y toma de posesión.

Según comenta desde Softpedia los equipos NAS en general son una apetitosa presa para los hackers y se ha detectado que el fabricante de QNAP ha liderado la atención de estos dispositivos y ya se han notificado varios casos de acceso no deseado por parte de la empresa FireEye, utilizando principalmente un CGI ubicado en /cgi-bin/authLogin.cgi para el proceso de validación de credenciales.

Curiosamente QNAP ha sido uno de los primeros fabricantes en lanzar actualizaciones para sus equipos que protegen contra las seis vulnerabilidades diferentes que explotan el bug de Shellshok, la última ayer mismo, pero al ocupar sectores tan amplios como el doméstico o el profesional incluso dentro de la alta producción a podido atraer a diferentes personajes buscando aprovecharse de estas situaciones.

Por ahora las fuentes de ataque principales se han detectado en EEUU y Corea, pero posiblemente surjan nuevos alojamientos para la distribución de este tipo de malware. Es importante actualizar cuanto antes a la versión de QTS 4.1.1 build 1003 para estar seguros de no correr riesgo y poder seguir con nuestro NAS accesible desde internet en caso de ser necesario.

Leer más

Synology libera las actualizaciones para Shellshock (DSM 5.0-4493 Update 7 y DSM 5.1-4977 Update 1)

Ya había comentado que tras haberse detectado varios modelos sensibles a la vulnerabilidad conocida como Shellshock era cuestión de horas que durante el día de hoy tuviésemos la actualización correspondiente de Synology, y ya la tenemos disponible desde el Panel de control /Actualizar.

Este update llega tanto para la versión estable de DSM 5.0 que se coloca en la 5.0 build 4493 Update 7 y para la versión beta de DSM 5.1, la 5.1 Build 4977 Update 1. Solo recordar que pese a que la shell de DSM es busybox, ciertas operaciones y servicios como HA (Alta Disponiblilidad de Synology) se basan en bash para operar, lo que provoca que estos equipos sean sensibles a la explotación del fallo de seguridad.

Esta más que recomendado la actualización en estas versiones de DSM, especialmente si nuestro NAS es accesible desde fuera de nuestra red local. ¡SOLO APLICA A LOS MODELOS AFECTADOS!

Changelog  (2014/09/29)

• Fixed Issues

Fixed a potential risk on Bash command shell (CVE-2014-6271 and CVE-2014-7169).

Leer más

Modelos de Synology afectados por Shellshock

Pese a que inicialmente parecía que Synology no estaba afectada por esta grave vulnerabilidad dependiendo del modelo y de la versión que utiliza su kernel sí están incluidos dentro de los equipos susceptibles a vulnerabilidad.

Modelos afectados:

• 15-series: DS415+
• 14-series: RS3614xs+, RS2414+, RS2414RP+, RS814+, RS814RP+, RS3614xs, RS3614RPxs
• 13-series: DS2413+, DS713+, RS10613xs+, RS3413xs+, DS1813+, DS1513+
• 12-series: DS712+, DS1512+, DS1812+, DS3612xs, RS3412xs, RS3412RPxs, DS412+, RS812+, RS812RP+, RS2212+, RS2212RP+
• 11-series: DS3611xs, RS3411xs, RS3411RPxs, DS2411+, RS2211+, RS2211RP+, DS1511+, DS411+II, DS411+
• 10-series: DS1010+, RS810+, RS810RP+, DS710+

Se espera que en las próximas horas se libere el update correspondiente de DSM que proteja contra esta falla de seguridad, hasta entonces mantén todos los puertos externos cerrados de tu NAS si está en esta lista.

Más info aquí.

Leer más

QNAP lanza su QTS 4.1.1 Build 0927 con parche para Shellshock

QNAP ha sido rápido y ha liberado en las últimas horas su update QTS 4.1.1 Build 0927 que corrige la vulnerabilidad conocida como Shellshock y que ha sacudido la seguridad en entornos Linux/Unix/Mac OS X principalmente al estar comprometida la integridad de comando bajo consola Bash, por lo que se recomienda actualizar cuanto antes tu NAS QNAP especialmente si lo tienes abierto a Internet.

Changelog 4.1.1 build 0927 (2014-09-27)

[Bug Fixes]

• Fixed the Shellshock security vulnerability that could allow attackers to gain remote control over the system (CVE-2014-6271).

Recientemente QNAP ya había sacado una actualización (4.1.1 buil916) que corregía otras vulnerabilidades detectadas y ampliaba características en su firmware, pero eso no ha impedido que hayan sido una de las primeras firmas de sistemas NAS en ofrecer una solución al problema.

Leer más

Nuevo gran agujero de seguridad: Shellshock

Una nueva vulnerabilidad ha aparecido en el horizonte, se trata de Shellshock (CVE-2014-6271) y al igual que hizo Heartbleed podría poner de nuevo en jaque a miles de sistemas abiertos en internet, y es que esa vulnerabilidad afecta principalmente a sistemas Linux y Mac OS X al afectar a la shell Bash, por defecto en la gran mayoría de estos.

A grandes rasgos parece que bash tiene un bug que permite la ejecución de datos cuando se hace la lectura de ciertas órdenes cuando justamente debería limitarse a eso, a leerlos, en vez de ejecutarlos realmente.

Cómo saber si nuestro equipo es vulnerable

Basta con abrir una sesión en consola e introducir la siguiente instrucción y si al enviarla nos aparece un emsnaje en pantalla de "vulnerable" significa que efectivamente tenemos una versión de bash sensible a tal fallo.

env x='() { :;}; echo vulnerable' bash -c "echo Fallo 1 parcheado"

QNAP y Shellshock

Por ahora parece que QNAP sí está afectado por esta grave vulnerabilidad, de confirmarse se aconseja el cierre de puertos y dejar de anunciar el NAS si está abierto de cara a Internet por seguridad del equipo y de los datos, al menos a la espera de que sea liberada la actualización que corrija este problema.

Synology y Shellshock

En cambio esta vez Synology parece exenta de problemas referente a esta vulnerabilidad, gracias a que la shell que ejecuta es busybox y no bash, aunque hay muchos usuarios que la han cambiado manualmente asi que mejor comprueba si por algún motivo es tu caso. ACTUALIZACION: sí que hay modelos de Synology afectados por esta vulnerabilidad debido a que el servicio de alta disponibilidad utiliza bash, consulta esta entrada para más información.

1 2 3 4 5 6 7 8 9 10 11 12

BusyBox v1.16.1 (2014-05-29 11:29:56 CST) built-in shell (ash) Enter 'help' for a list of built-in commands. disk> ls -la /bin/bash ls: /bin/bash: No such file or directory disk> ls -la /bin/sh lrwxrwxrwx 1 root root 7 Aug 18 20:42 /bin/sh -> busybox disk> env x='() { :;}; echo vulnerable' bash -c "echo this is a test" env: bash: No such file or directory disk> env x='() { :;}; echo vulnerable' sh -c "echo this is a test" this is a test disk>

Fuente: Genbeta + Errata Secutiry

Leer más

Synology DSM 5.1 Beta disponible, ¿novedades?

La semana pasada ya se anunció en París la liberalización de su nueva versión de DSM 5.1 en fase beta para todos aquellos que quisiesen probarla y esta misma mañana ya la tenemos disponible para probarla. Recuerda que se trata de una versión Beta y pese a la estabilidad que suelen tener estas versiones en los productos de Synology podrías tener algún problema en tu NAS Synology en caso de decidirte probarla.

DSM 5.1 Beta está marcado como build 4977 y la idea de su fabricante es mejorar notablemente la experiencia dentro del entorno NAS e incluir importante mejoras.

Cloud

Synology ha integrado el sorporte ACL a la nube de Synology a modo de segmentar y personalizar enormemente los accesos a los datos online, además ahora podremos sincronizar de forma selectiva y granular para evitar crear nuevas estructuras de carpetas que estén dentro del Cloud, según Synology se ha triplicado hasta tres veces la velocidad de sincronización.

Los usuarios recibieron gratamente el integrar dentro de su Cloud servicios de terceros como Dropbox o Google Drive, así que Synology ha ampliado estos servicios a las cuentas de Box, Microsoft OneDrive y Hubic, además de haber simplificado la gestión y administración como el control de versiones, tenemos control de ancho de banda y podemos descartar extensiones si lo deseamos.

Video Station

Ahora disponemos de acceso a subtítulos gracias a los plugins de OpenSubtitles y Shooter.cn y por fin bajo Plex podemos continuar la reproducción de un vídeo sin previamente dejamos a medias su visionado a medias.

Audio Station

Se ha ampliado el control de búsuquedas dentro de esta app y ahora tenemos acceso a mucha más información.

Photo Station

Se ha incorporado la posibilidad de crear una presentación de imágenes con música si queremos realizar una presentación concreta de nuestras imágenes.

Compartición de archivos
Cada vez se usan más las herramientas para compartir nuestros archivos del NAS con terceras personas fuera de nuestra intranet, sea a través de las redes sociales como por acceso de links, así que se ha potenciado este sistema de modo que podemos compartir más archivos y permitir el acceso a nuestros ficheros como puede ser el ver una película de forma sencilla y transparente.

¿Y las app's para dispositivos móviles?

DS Photo+ ha integrado una opción para tener acceso a las imágenes sin necesidad de conexión, algo parecido a DS Video cuando salió DSM 5.0. 

DS Audio ahora dispone de un temporizador para programar el cierre de la reproducción y disponemos gestión del Airply/Bluethoot entre otras características.

DS Video permite el acceso a los subitítulos al igual que Video Station, acceso a diferentes librerías además de haber optimizado el acceso a contenidos.

DS File ahora integra visores de formatos multimedia e imagen para iOS además de disponer de transcodificación en caso de ser compatible, se han aumentado las funciones táctiles para mejorar la exploración desde el dispositivo.

Seguridad ante todo

Pese a que Synology ofrece múltiples parches para corregir posibles vulnerabilidades lo cierto es que se ha visto afectado por algunos agujeros de seguridad graves, por este motivo se ha creado una nueva aplicación disponible para todos los modelos llamada SecurityAdvisor y que permite el análisis de nuestro NAS en búsqueda de puntos débiles de seguridad, una especie de asesor para ayudarnos a securizar de forma fiable nuestros datos.

Servidor Proxy

Ahora disponemos de un servidor proxy en caso de necesitar un centro de difusión para el acceso a internet, hasta ahora solo podíamos instalar esta opción gracias a los repositorios de terceros pero ahora Synology ha decido ofrecer una aplicación propia que puede ser muy útil, especialmente en entornos de trabajo.

CardDAV

Ahora podemos sincronizar los contactos entre dispositivos móviles, portátiles y ordenador gracias a CardDAV.

Estación de Notas

Synology ha integrado un gestor de notas gracias a la famosa aplicación Evernote, posiblemente la más afamada dentro de este sector.

Cache SSD

La gestión de las caché SSD se ha mejorado notablemente y ahora podemos instalar de forma exclusiva un disco SSD para esa función en caso de ser necesario. Si tenemos esta función además se nos permite ver el estado de esa misma caché de forma muy simple y visual.

Servicios para la interfaz de red

Posiblemente una de las grandes propuestas en esta versión de DSM, especialmente para el sector profesional. Si disponemos de un modelo con varias conexiones ethernet podemos reservar cada una de ellas para determinados servicios y de forma independiente.

Descarga de DSM 5.1 BETA: http://ukdl.synology.com/download/beta/DSM5.1_beta/4977/

Fuente e imágenes: Tech2Tech FR

Leer más

Disponible Synology DSM 5.0-4493 Update 5

Todo poseedor de un NAS Synology debería actualizar a la última versión disponible lanzada hoy mismo, la DSM 5.0-4493 Update 5 que corrige una importante vulnerabilidad que podría posibilitar el acceso no autorizado a nuestro equipo, además de mejorar la estabilidad en los procesos de copia bajo carpetas compartidas que estén encriptadas. Este update fue liberado el día 10 de Septiembre, está más que recomendada su instalación de forma urgente.

Si bien es cierto que Synology se ha convertido en el fabricante de NAS que más está trabajando en liberar actualizaciones que mejoren la experiencia del usuario además de parchear diferentes vulnerabilidades que van siendo descubiertas, no deja de ser preocupante la cantidad de exploits descubiertos que afectan a estos equipos (y a otros fabricantes al estar basados casi siempre en entornos Linux). Si usas un NAS y lo tienes abierto a Internet deberías reflexionar los datos expuestos y si has creado un entorno seguro, desde este blog te recomiendo el uso de VPN's en caso de acceder desde fuera de tu red local.

Changelog DSM 5.0-4493 Update 5:
- Improvements
Improve the stability of file copy to encrypted shared folders.
- Fixed Issues
Fixed a vulnerability that could allow servers to accept unauthorized access.

Release Notes: https://www.synology.com/es-es/releaseNote/DS713+

Leer más

Disponible Synology DSM 5.0-4493 Update 4

Synology acaba de lanzar un nuevo minor update, concretamente el 5.0-4493 Update 4 para corregir principalmente un buen número de vulnerabilidades detectadas entre ellas algunas relacionadas de nuevo con las librerías OpenSSL, además de diferentes correcciones, por motivos de seguridad se recomienda actualizar para evitar que esos exploits sean utilizados.

A continuación tienes el changelog y listado de modificaciones además de lo CVE que se parchean:

• Upgraded OpenSSL to Version 1.0.1i to fix multiple security issues (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298, and CVE-2014-3470).
• Implemented fixes for Kerberos 5 to address multiple security issues that allow remote attackers to cause a denial of service (CVE-2012-1013, CVE-2014-4341, CVE-2014-4342, CVE-2014-4344).
• Fixed an issue where files with ACL attributes could become inaccessible after being loaded in large batches when DiskStation acts as an NFS server.
• Fixed an issue where the restore might not be successful when containing multiple subfolders in Time Backup.
• Fixed an issue where DHCP server service does not map to the correct VLAN interface if the service started before VLAN is enabled.

Leer más

¿Son seguros nuestros NAS?

Tras el escándalo de seguridad que ha afectado a diferentes NAS del fabricante Synology muchos usuarios y administradores han temido por el acceso seguro a los datos de sus NAS y aunque si bien es cierto que el fallo de seguridad que del que se ha aprovechado SynoLocker, el hack en cuestión, afectaba únicamente a versiones antiguas de su firmware (DSM 4.3-3810 o inferiores) y por lo tanto la responsabilidad recae en igual medida sobre quien gestiona el NAS y a su obligación de actualizar y parchear el sistema. Pese a ello este caso hace que nos planteemos una duda: ¿son nuestros NAS seguros?

Estos días atrás se ha celebrado el evento Black Hat 2014, donde diferentes hackers y expertos en seguridad han evaluado y criticado las medidas de seguridad de varias plataformas entre otros, y precisamente los sistemas NAS han tenido especial protagonismo.

Jacob Holcomb, experto en seguridad independiente, demostró cómo gracias a diferentes vulnerabilidades descubiertas se podía tener acceso a los datos en 10 fabricantes de equipos NAS diferentes:

• Asustor AS-602T
• TRENDnet TN-200 y TN-200T1
• QNAP TS-870
• Seagate BlackArmor 1BW5A3-570
• ReadyNAS104 Netgear
• D-Link DNS-345
• Lenovo IX4-300D
• Buffalo TeraStation 5600
• Western Digital MyCloud EX4 
• ZyXEL NSA325 v2

En la lista vemos que aparecen casi todos los fabricante, salvo Synology o Lacie aunque eso no significa que estén exentos de problemas con sus firmwares actuales, pero otros grandes fabricantes como QNAP fallan en el test de seguridad de Jacob Holcomb, quien asegura poderse valer de hasta 22 agujeros de seguridad que le dan acceso a la totalidad de los datos sin necesidad de autencicación, aunque en este caso estos vulnerabilidad ya han sido puesto en conocimiento de cada fabricante y de la organización MITRE (quien gestiona los CVE comunes y que ya ha otorgado un caso a cada una de las vulnerabilidades anunciadas), así que quedamosa la espera que en los próximos meses ofrezcan soluciones en forma de actualizaciones para sus sistemas.

Por ahora sabemos que los ataques utilizados por Jacob se badan en la inyección de comandos, cross-site request forgery, desbordamientos de búffer, desvíos y errores de autenticación, manipulación en la información anunciada, cuentas para puertas traseras (en el caso de Seagate), mala gestión de la sesión y directorio transversal. Gracias a estas técnicas y medios se ha conseguido obtener el acceso como root dentro de la shell de cada dispositivo permitiendo control absoluto del aparato.

Jacob se ha convertido en una figura importante a la hora de sacar los colores a diversos fabricantes de equipos tecnológicos y ya el año pasado destapó hasta 50 vulnerabilidades críticas en diferentes routers y este año decidió testear la integridad de equipos NAS.

Un NAS alberga posiblemente lo más valioso que podemos tener en nuestro entorno (hablando de forma genérica): los datos. Seamos empresa o particular en un NAS podemos guardar desde los datos de nuestros clientes hasta nuestro backup personal con la mayor recopilación de fotos que relatan nuestra vida, en ocasiones incluso se da el grave error de contener una única copia de los datos, como pasa en algunas pymes, de ahí la importancia de velar por la seguridad e integridad de estos valiosos datos.

Quizás este anuncio debería hacernos plantear cómo son de seguros nuestros NAS, nuestros routers, nuestras redes y toda la infraestructura donde se terminan almacenados nuestros datos.

Leer más

Primera respuesta pública de Synology sobre SynoLocker

Desde el foro de soporte oficial de Synology han publicado la que es la primera respuesta e información sobre este hack que está generando tanta polémica:

Las versiones afectadas son DSM 4.3-3810 o anteriores y que hace uso de una vulnerabilidad corregida en diciembre de 2013, por este motivo no afecta a DSM 5.0 y Synology confirmar que ninguno de los casos recibidos hasta el momento tenía este último firmware.

Si has sido infectado tienes varios indicativos:

• Al acceder al interfaz web de DSM se mostrará un mensaje sobre el pago con bitcoins para recuperar el acceso a los datos.
• Existe un servicio corriendo llamado "synosync" que puede verse en el Monitor de Recursos
• La versión de DSM es 4.3-3810 o anterior, pero desde Panel de Control / DSM Update no se muestran nuevas actualizaciones.

Si ese es tú caso contacta con el soporte de Synology para recibir asistencia.

IMPORTANTE: Si no has sido infectado por este hack se recomienda encarecidamente que actualices DSM 5.0 en su defecto a:

• DSM 4.3 actualiza a  DSM 4.3-3827 o superior.
• DSM 4.2 o DSM 4.1 actualiza a DSM 4.2-3243 o superior.
• DSM 4.0 actualiza a DSM 4.0-2259 o superior.

UPDATE: Ya se ha publicado en la web de Synology una nota sobre los pasos a seguir.

Leer más

Synology DSM 5.0 no está afectado por SynoLocker

Ya ha pasado el primer día tras la detección de SynoLocker, un malware/hack que está haciendo barridos dentro de los rasgos de Internet en búsqueda de equipos Synology a los cuales consigue acceder y cifrar la documentación, impidiendo el acceso a la misma a menos que se pague "un rescate" para que te den la clave con la que poder echar atrás dicha encriptación.

Todavía no se sabe muy bien que vulnerabilidades explota este hack pero parece que sí se confirma que solo afecta a DSM 4.3 gracias a un bug que tenía esta versión, por ahora solo habían sido usuarios de esta versión los aquejados del secuestro de datos de sus NAS pero por precaución y ante la falta de información el consejo ha sido desactivar cualquier acceso procedente de fuera de tu LAN local sin importar modelo o versión de firmware del NAS.

Ahora por fin Synology ha confirmado la sospecha que los equipos que corren con DSM 5.0 en cualquiera de sus builds están exentos de este posible agujero de seguridad, aunque es conveniente actualizar a la última versión disponible.

Este comunicado no ha sido realizado de forma pública todavía pero ya se están respondiendo a las consultas de cientos de usuarios que se hacen vía soporte oficial del fabricante, en el caso de la captura vía @o5chi1

En caso que tu equipo tenga DSM 4.3 actualiza lo antes posible a DSM 5.0 si es posible, si tu NAS por obsolescencia no puede acceder a esta versión continúa con su acceso vía WAN desactivado hasta que se publique una fix que solucione el problema o sigue estas instrucciones.

Hasta que Synology no lacen un comunicado oficial y sobreotod público recomiendo seguir con todas las defensas a máximo nivel, básicamente puertos cerrados, Quickconnect y DDNS de Synology desactivados.

Leer más

Grave vulnerabilidad permite el secuestro de equipos Synology (SynoLocker)

Esta mañana la comunidad nasera se ha levantado algo revuelta, concretamente todos aquellos poseedores de un NAS Synology, puesto que han aparecido varias víctimas en el foro oficial de Synology que han sufrido el secuestro de datos de su equipo.

Aparentemente el problema se centra que desde un software llamado SynoLocker que está haciendo barridos dentro de los rangos de internet en búsqueda de equipos Synology con diferentes puertos abierto, primero se estimaba que los puertos implicados para esta vulnerabilidad eran los de serie para la gestión del aparato, 5000 y 5001 pero tras el análisis de varios casos podrían haber más puertos afectados, inclusos algunos para la conexión vía VPN, incluso medidas de seguridad de ataques DoS o tener la lista negra activada para intentos de validación de usuario fallidos (5 intentos) no han permitido evitar el ataque.

Una vez el equipo es localizado y el acceso se ve comprometido por SynoLocker comienza un cifrado de los discos que estén conectados en ese momento a nuestra unidad Synology, un cifrado basado en una clave AES de 256 bits, encriptación por cierto lenta y que favorece que en caso que detectemos que nuestro equipo se ha visto comprometido podamos sacar una copia de los datos antes de que esa encriptación termine el cifrado de toda la información, aunque aquí ya entra el factor de "muy buena suerte" si nos vemos afectados y localizamos el problema a tiempo. En caso contrario si deseamos recuperar el control de nuestros discos deberemos pagar 0,6 bitocoins, unos aproximados 350$.

¿Pero es fácil que encuentren nuestro equipo Synology en Internet? La respuesta es sencilla: Sí, almenos hasta no hace mucho donde Synology se vio afectada por otra pequeña vulnerabilidad que permitía su fácil detección, de hecho en algunas pruebas que hice hace unos meses conseguí listados de hasta 200.000 registros de ip's y dominios varios que me enlazaban a un equipo Synology.

Qué hacer hasta que se publique un update que solucione esta vulnerabilidad: Desactiva toda gestión desde fuera de tu LAN inclusive si la gestión es vía VPN, aunque parece que no hay una incidencia exageradamente elevada de equipos afectados por SynoLocker no arriesgues innecesariamente.

A continuación puede leer los pasos que se exigen para acceder a los datos de nuevo si tu equipo es secuestrado:

Follow these simple steps if files recovery is needed:

Download and install Tor Browser.

Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.

Login with your identification code to get further instructions on how to get a decryption key.

Your identification code is - (also visible here).

Follow the instructions on the decryption page once a valid decryption key has been acquired.

Technical details about the encryption process:

A unique RSA-2048 keypair is generated on a remote server and linked to this system.

The RSA-2048 public key is sent to this system while the private key stays in the remote server database.

A random 256-bit key is generated on this system when a new file needs to be encrypted.

This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.

The 256-bit key is then encrypted with the RSA-2048 public key.

The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.

The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.

The encrypted file is renamed to the original filename.

To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.

Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.

When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.

Note: Without the decryption key, all encrypted files will be lost forever.

Copyright © 2014 SynoLocker™ All Rights Reserved.

Synology lleva trabajando los últimos meses en mantener sus equipos actualizados especialmente en cuanto a vulnerabilidades se refiere, pero tras la noticia del hackeo de sus equipos para la minería de monedas virtuales este hecho hace que se deban replantear un doble esfuerzo en frenar posibles hechos similares en el futuro.

Foro oficial de Synology: http://forum.synology.com/enu/viewtopic.php?f=3&t=88716
UPDATE: se ha movido el tema de conversación a: http://forum.synology.com/enu/viewtopic.php?f=108&t=88770

Gracias @Rubik2k por hacer llegar el aviso y difundir el caso.

Leer más

Disponible Synology DSM 5.0-4493 Update 3

Nueva actualización menor para los equipos NAS de Synology, concretamente nos vamos a la versión 5.0-4493 Update 3, que mejora principalmente la estabilidad de la expansión del volumen en caso de llevarse a cabo además de corregir varios errores como la imposibilidad de conectarse a DSM después de ejecutar el wizard de QuicConnect en una instalación limpia del firmware y un problema determinado de rendimiento en el modelo RS10613xs+ cuando habían activas varias peticiones concurrentes.

Además Synology ha corregido dos vulnerabilidades basadas en el protocolo de transferencia SAMBA: la CVE-2014-0244 y la CVE-2014-3493, que permitirían la posibilidad de realizar ataques DoS, Denegación de Servicio.

Changelog DSM 5.0-4493 Update 3 (2014/07/24)

Improvements

• Improved the stability of volume expansion.

Fixed Issues

• Fixed two SAMBA vulnerabilities which allowed remote attackers to use the weaknesses to perform DoS attacks (CVE-2014-0244, CVE-2014-3493).
• Fixed an issue which prevented users from being able to log into DSM after completing QuickConnect Wizard after a fresh DSM installation.
• Fixed an issue causing slow response time in DSM on the early version of RS10613xs+ when too many concurrent connections were active.

Fuente: Synology Changelog.

Leer más

¿600.000$ de beneficios hackeando equipos Synology?

Hace ya unos meses publiqué cómo una vulnerabilidad detectada en el firmware de Synology permitía la instalación del código necesario para poner estos NAS a trabajar de forma dedicada al minado de bitcoins y otras criptomonedas, realmente parece ser que la moneda objetivo era la Dogecoin, otra variante bastante famosa también.

Quizás, ya pasado un tiempo, te hayas puesto a pensar si realmente merece la pena hackear un NAS para dedicarlo a la minería, son equipos con CPU de baja potencia comparado con los ordenadores convencionales, pero parece ser que el equipo de Dell SecureWorks ha cifrado los beneficios obtenidos en aproximadamente 600.000$, algo que seguro sorprende a más de uno, yo incluido.

Monitorización de actividad del puerto 5000 entre febrero y marzo 2014

¿Cómo se obtuvieron estas estimaciones? Después de analizar el tráfico y del programa se identificaron dos monederos virtuales donde apuntaban los resultados de todas las operaciones que descifraban los algoritmos necesarios para obtener dichas monedas y se determinó que el volumen de cybermonedas obtenido era de unos 500 millones de Dogecoins, equivalente a unos 620.000$, movidos solo entre enero y febrero gracias al exploit que Synology parcheó más tarde (recordemos que estaban afectadas las versiones inferiores a DSM 4.3-3776).

Si tu equipo se vio afectado por esta vulnerabilidad y confirmastes que tu NAS Synology fue hackeado quizás sería buen momento para pedir tu parte del botín.

Leer más

CUIDADO: Time Machine + DSM 5.0-4482 (Synology)

Parece ser que tras liberarse la última actualiación de DSM 5.0 Build 4482 diversos usuarios de Time Machine, el sistema de copias de seguridad de Apple, han detectado un funcionamiento anómalo de este software.

El síntoma se resume en la falta de copias de seguridad de días atrás e incluso los últimos días que nos aparecen protegidos al intentar abrir el .sparsebundle genera un error null y no deja abrirlo.

Cuál es la solución? Para que Time Machine vuelva a funciona con normalidad solo debemos reiniciar nuestro Synology, pero esta solución no es así de simple puesto que el soporte oficial del fabricante avisa que el problemas podría repetirse pasadas 12-24 horas, de ahí la importancia a revisar el buen funcionamiento de Time Machine si se trata de una herramienta de respaldo imprescindible para nosotros o buscar una alternativa que te ofrezca copias de forma correcta, almenos hasta que Synology de una respuesta más fiable sobre este problema o lo resuelva con una próxima actualización. Recordar que este problema no tiene que reproducirse a todos los poseedores de Synology con este firmware ni todavía se conocen patrones comunes, pero ves con cuidado en caso de usar Time Machine.

Leer más