Video: Synology NAS свой собственный spedtest (November 2024)
Eigenaren van op Synology aangesloten netwerkopslagsystemen met trage prestaties kunnen het slachtoffer zijn van een gewaagde mijnbouwoperatie om virtuele valuta te genereren, Dogecoins genoemd. Patch die systemen zo snel mogelijk.
Volgens Dell SecureWorks hebben aanvallers Dogecoin-mijnbouwprogramma's op kwetsbare Synology NAS-dozen geplaatst om verwerkingskracht te stelen om de cryptovaluta te genereren. Mijnbouwprogramma's meeliften op de CPU-processen en grafische verwerkingskracht van het systeem om de wiskundig intensieve en complexe berekeningen uit te voeren die nodig zijn om fracties van de digitale valuta te genereren. Getroffen systemen vertonen onverklaarbare pieken in CPU-gebruik en gebruikers vinden het systeem traag en moeilijk te gebruiken.
Dell SecureWorks-onderzoekers vonden twee elektronische portefeuilleadressen die bij deze operatie horen en schatten dat het team achter de operatie begin dit jaar mogelijk meer dan 500 miljoen Dogecoins heeft gedolven. Tegen de huidige prijzen zijn die munten meer dan $ 600.000 waard.
"Tot op heden is dit incident de meest winstgevende, onwettige mijnbouwoperatie", schreef Pat Litke, een onderzoeker bij Dell SecureWorks.
Zoek de gepande map
Sinds begin februari zijn er online meldingen van ontevreden gebruikers die klagen over trage prestaties en hoog CPU-gebruik op hun Synology NAS-boxen. De malafide mijnwerker werd opgeslagen onder een PWNED-directory op gecompromitteerde machines, zei Dell SecureWorks. Aanvallers vonden kwetsbare NAS-systemen met behulp van een geavanceerde Google-zoekopdracht met specifieke zoekwoorden en de Synology.me-URL, waardoor aanvallers direct in de NAS-beheersoftware terechtkwamen.
De aanvallers profiteerden van ernstige kwetsbaarheden, zoals niet-geverifieerde externe bestandsdownloads en fouten in de opdrachtinjectie in DiskStation Manager, het op Linux gebaseerde besturingssysteem van Synology voor zijn lijn NAS-systemen. De bugs zijn afgelopen september gemeld door onderzoeker Andrea Fabrizi. Synology herstelde de fouten voor het eerst in september en bracht in februari een nieuwe update uit.
Volgens Dell SecureWorks vond het grootste deel van de mijnaanvallen plaats tussen januari en februari van dit jaar, minstens drie maanden nadat Synology de bugs voor het eerst had opgelost. Het is duidelijk dat veel gebruikers hun systemen niet hebben bijgewerkt nadat de tweede update in februari werd uitgebracht, omdat gebruikers nog steeds klagen over het malafide programma. In feite rapporteerde het SANS Internet Storm Center ook een piek in scans tegen poort 5000 in maart. Die poort is de standaard luisterpoort voor Synology NAS.
Opruimen en patchen
Deze mijnaanval benadrukt het belang van het regelmatig patchen van netwerkapparatuur zoals routers en NAS. Het is gemakkelijk om deze systemen in te stellen en ze gewoon te vergeten, maar het is gevaarlijk om de backbone van het thuisnetwerk te verwaarlozen. Indien overtreden, kunnen aanvallers het thuisnetwerk bereiken en allerlei informatie over het gezin onderscheppen. Controleer regelmatig op nieuwe firmware-updates.
Betrokken gebruikers kunnen de gedetailleerde verwijderingsinstructies bekijken op de gebruikersforums van Synology.
Synology heeft de DiskStation Mananger-interface aangepast om het besturingssysteem automatisch bij te werken in plaats van te wachten op de gebruiker.
"Naarmate cryptocurrencies aan kracht winnen, zal hun populariteit als doelwit voor verschillende malware blijven stijgen, " zei Litke.
