2014年3月13日 星期四

[群暉Synology] NAS,針對近期的安全性漏洞處理教學(更新至DSM 4.3 3827)

最近工作上遇到的案例,分享出來給大家看看~

-------------------------------------------------------------------------

群暉的DSM系統已發佈至5.0版本,因新版剛發佈,為避免有不穩定的狀況發現,建議先採用DSM 4.3版本即可。

群暉科技 Synology® 發布 DiskStation Manager 安全性更新,兩項已知的系統風險 (CVE-2013-6955 CVE-2013-6987) 可能造成 DSM 系統執行權限受到入侵。為防止惡意程式攻擊,DSM 版本更新已隨之發布(2/14)

依網路上症狀觀察,大多受害者為有將5000 埠開放到外網。駭客掃描5000埠,利用漏洞,植入比特幣的挖礦程式
請協助檢示NAS是否已遭受攻擊,下文將提供遭受攻擊的可能徵兆與處理方式,以及未遭受攻擊的預防方式。
(一)   已遭受攻擊的使用者
Ø   遭受攻擊的 DiskStation RackStation 可能出現以下徵兆:
l   資源監控中心偵測到異常滿載的 CPU 使用率、程序佔據資源:
DSM功能表 ->資源監控
觀察「程序」,程序名稱為 httpd-log.piddhcp.pidminerdsynodnsPWNEDPWNEDbPWNEDgPWNEDm,或其他名為 PWNED 的處理程序,其CPU佔據資源
觀察「效能-CPU」,使用率約十分鐘左右,查看使用率是否八成皆在90~100%
l   不屬於Synology 的資料夾:
名為 startup 的共用資料夾被建立於系統中;或在 /root/PWNED 路徑下,出現不屬於 Synology 的資料夾
l   Web Station 自動導向非指定頁面:
Index.php 被導向至非指定頁面
l   不屬於 Synology CGI 程式檔:
/usr/syno/synoman 路徑下出現無意義的檔案名稱
l   不屬於 Synology 的指令程式:
/usr/syno/etc/rc.d 路徑下出現如 S99p.sh 等,不屬於 Synology 的指令程式
l   NASDSM無法登入,會出現「系統正在準備就緒。請稍後再登入」


Ø   處理流程:
1.  請確認NAS原有的DSM版本,確認為DSM 4.0DSM 4.1DSM 4.3
2. 請將NAS關機(按壓前面板的電源鈕,直到聽到一聲嗶聲後再放開)
3. 所有硬碟拔下,請記住硬碟順序
4. 利用另一顆備用硬碟(非原有的硬碟),安裝至第一個插槽
5. 下載原有DSM版本之最新版
l   DSM 4.3使用者,請依不同型號下載對應的DSM 4.3-3827
             下載位址:http://ukdl.synology.com/download/DSM/4.3/3827/
l   DSM 4.1DSM 4.2使用者,請依不同型號下載對應的DSM 4.2-3246
l   DSM 4.0使用者,請依不同型號下載對應的DSM 4.0-2262
6. 利用Synology Assistant軟體,將DSM安裝於此備用硬碟
7. 安裝完DSM後,即能正常登入。不需建立任何儲存空間,只要安裝DSM即可
    (目的在於讓NAS可正常開機進入系統,將不影響原有硬碟的RAID及設定檔)
8. 可正常登入後,請將NAS關機
9. 拔除此硬碟
10. 將硬碟依原有的順序安裝回NAS
11. 使用Synology Assistant軟體搜尋NAS,可發現其狀態欄位為「可移轉」
12. 請再次安裝DSM
13. 重開機登入系統,請確認資料皆正常


(二)   未遭遇上述徵兆的使用者
Ø   建議可從 DSM > 控制台 > DSM 更新頁面,更新至下述版本,保障 DiskStation 免於惡意攻擊。
1. 系統設定備份(進行DSM升級前,建議請先自行備份設定檔後,再進行升級)



2.      至網站下載對應型號的pat
3.      系統更新


4.      上傳已下載的pat檔,在更新的過程中,NAS會重開機
此頁面的系統更新,並非為最新版,需手動再更新DSM


Ø   預防方式:
1.      停用admin以及其他內建的帳號
2.      停用內建的port埠,改成其他埠號
3.   如NAS是使用虛擬IP,並經由NAT轉換實體IP對外者,可在Firewall或NAT的設備上修改成對外採用其它埠映射到NAS5000
3.      變更預設的HTTPHTTPS埠號、啟動HTTPS安全連線

4.      NAS放在分享器或防火牆後,如果是NAS直接PPPoE或者是放在DMZ裡,請務必設定防火牆
5.      啟用自動封鎖功能

6.      在分享器上設定防火牆規則,防止Port scanner
7.      在分享器上設定自動封鎖規則
8.      如果NAS不對外連線只對LAN開放,善用VPN,尤其是OPEN VPN

上述預防方式僅能增加NAS的安全性,但無法防止漏洞。