Hoogstwaarschijnlijk....NTP-poort in de NAS gebruikt om te hacken !!!

[a.thewessen]

NAS met versie 4.2 firmware gehackt via de NTP ingang. 

Diverse keren (3x)door KPN in quarantaine gezet, omdat onze internetverbinding oneigenlijk gebruikt werd, om hiermee DDOS aanvallen uit te voeren!!! 

in overleg met kpn wat bekeken en hun gaven aan dat het hoogstwaarschijnlijk door de NAS komt...
Wil niet negatief overkomen, maar is iets om even rekening mee te houden en de instellingen en je NAS op ongewenste toegang te monitoren.

Opgelost hopelijk door:
Nieuwe firmware update naar de 5 versie. NTP o.a. voor surveillance te gebruiken UIT gezet. Surveillance optie totaal eraf gehaald.
Zoveel mogelijk andere opties ook uitgezet,zoals ftp,ftps, geen toegang meer van buitenaf toegestaan om van buitenaf je NAS te gebruiken enz enz...maargoed daar koop je toch geen NAS voor dacht ik.
Er zit hoogstwaarschijnlijk een lek/mogelijkheid in de oude firmware versie(s) waardoor dit mogelijk wordt.?

Ben geen techneut maar wordt hier niet vrolijk van. Hopelijk hier ook al iets over bekend bij Synology.
Nu de NAS (DS1513+) alleen nog op kantooruren ingesteld voor interne toegang om het e.e.a. zoveel mogelijk te voorkomen.
Zal zo geleidelijk aan maar eens onderzoeken om wat instellingen te wijzigen in de NAS software en dan goed monitoren wat er op het netwerk gebeurd. Zeker ook om te zien of het probleem opgelost is door de nieuwe firmware, en ik met een gerust gevoel wat meer toegang van buitenaf kan toestaan.

Tsja...je hebt er een hoop werk mee om het allemaal dicht gespijkerd te houden, je NAS goed in te stellen, wordt je toch in quarantaine geplaatst. Nogmaals kan het niet zelf controleren, maar is via kpn gedaan.
Deze hadden een STERK vermoeden dat het door de NAS komt....

Maargoed, houd dit forum in de gaten of er meerdere forumleden zulke ervaringen hebben opgedaan.
Wellicht is het met de nieuwe firmware update opgelost.

[Birdy]

Goed dat je dit meldt maar:

- Je NAS openstellen voor de buitenwereld geeft altijd risico's en dat is over de hele wereld bekend.
- Beveiligen is een van de taken van een beheerder.*
- Lekken kunnen altijd ontstaan, immers, software is gemaakt door mensen en kunnen gehackt worden door mensen en zelfs door software (er zijn hiervan voorbeelden te vinden).
- Hacken via NTP (Network Time Protocol) ? Zou kunnen, echter is ook maar een protocol om je tijd gelijk te zetten. Ik heb hier echter nog niet van gehoord.

* b.v. http://www.synology.com/nl-nl/support/tutorials/478

Hopelijk hier ook al iets over bekend bij Synology.

Synology leest niet mee in dit Forum dus, als je iets te melden of ontdekt hebt, dan zou je hiervoor een ticket in kunnen leggen.

[a.thewessen]

Hallo Birdy,

Bedankt voor je reactie.
Ja, het gebeurd schijnbaar door poort 123.De time synchronisatie server. Daar ligt hoogstwaarschijnlijk het probleem waardoor ze binnen komen. Hopelijk wisten ze dit bij Synology zodat ze de firmware update 5 hierop getest hebben...Je kunt hem ook handmatig zetten maar niet geheel uit dacht ik. Heb hem uit staan wat betreft automatisch bijhouden.

Heb onze NAS afgelopen vrijdag geupdated en nu maar eens afwachten hoelang het duurt dat het weer gebeurd.
Hopelijk hebben we er nu geen last meer van. Maar als ik het goed gelezen heb wordt deze poort ook gebruikt door het surveillance programma...of ben ik abuis.? Heb het in ieder geval eraf gehaald. Gebruiken we toch niet op kantoor, vandaar.
 

[peeweesyn]

Bekend probleem, zie 3e regel

Version: 4.3-3827 Update 1

(2014/3/18)
Change Log

Fixed a security issue related to OpenSSL (CVE-2013-4353).
Fixed security issues by upgrading PHP to version 5.3.28 (CVE-2013-4073, CVE-2013-6420).
Fixed a security issue to prevent malicious attacks via NTP service (CVE-2013-5211).
Fixed an issue where encrypted shared folders on ext3 volumes could not be mounted.
Fixed an issue where Microsoft IIS (Internet Information Services) servers could not list files in shared folders on the DiskStation via SMB.
Fixed an issue where files could not be listed using command line after SMB signing was enabled.
Fixed an issue where data might not be correctly written to a degraded RAID 5 volume. (Applied to: DS213+, DS413, DS213, DS413j, DS213air, DS213j, DS212, DS212+, DS212j, RS212, RS812, DS112j, DS112, DS112+, RS411, DS411, DS411j, DS411slim, DS211+, DS211, DS211j, DS111, DS410, DS410j, DS210+, DS210j, DS110+, DS110j)
Fixed an issue where shutting down or rebooting the DiskStation would fail when DDoS protection was enabled.
Improved system stability when transferring files under heavy workloads

[Birdy]

Maar als ik het goed gelezen heb wordt deze poort ook gebruikt door het surveillance programma...of ben ik abuis.?

Surveillance Station   9900 (HTTP), 9901 (HTTPS)   TCP

Ja, het gebeurd schijnbaar door poort 123.De time synchronisatie server.

Klopt:
http://wiki.tcl.tk/3391

Hopelijk wisten ze dit bij Synology zodat ze de firmware update 5 hierop getest hebben.

Deze wel:
http://www.synology.com/nl-nl/company/news/article/437

Wel net deze ontdekt gezien (alleen maar een FYI):
http://thehackernews.com/2014/01/Network-Time-Protocol-Reflection-DDoS-Attack-Tool.html
Aanval > NTPServers > Slachtoffers 

Edit.
Ah....dat is deze dus (dank peeweesyn):
Fixed a security issue to prevent malicious attacks via NTP service (CVE-2013-5211).

Maar dat gat toch over aangevallen worden ?
Niet over "omdat onze internetverbinding oneigenlijk gebruikt werd, om hiermee DDOS aanvallen uit te voeren!!!"
Of wel ?

Maar goed, laten we afwachten of a.thewessen nog last krijgt/heeft.

[Ieskorp]

Zie onderstaande links:
http://www.cvedetails.com/cve/CVE-2013-6987/
http://www.cvedetails.com/cve/CVE-2013-6955/
http://www.cvedetails.com/cve/CVE-2014-2264/

Beiden lekken zaten in DSM zelf. Reden te meer om updates bij te houden en te installeren.
 

[Briolet]

NAS met versie 4.2 firmware gehackt via de NTP ingang. 

Ik denk niet dat ze je NAS via de NTP ingang kunnen hacken omdat deze poort eigenlijk nooit in de router geforward is.

Als ik de link van Birdy lees over de DDOS attack, gaat het ook niet over de overname van een computer via de NTP poort. Daar gaat het over een PC die reeds gehacked is en de NTP service gebruikt om DDOS aanvallen op andere computers te doen.

Zonder de CVE-2013-5211 gelezen te hebben die Synology gefixed heeft, denk ik dat de fix alleen inhoud dat de NTP functie niet meer voor DDOS aanvallen misbruikt kan worden.

Blijft een feit dat je NAS gehacked is via een lek dat Synology inmiddels gedicht geeft. Upgraden of her-installeren van de laatste DSM versie schijnt het probleem op te lossen.

[a.thewessen]

Bedankt forumleden voor jullie reactie.!

Je kunt het controleren denk ik door de optie van monitoren van het gebruik van kb/s van je netwerk op je bureau blad te zetten.
Dus degene die dit ook niet meer zien....ff updaten die NAS. Je wordt waarschijnlijk al gehackt.! 
Dan zie het gebruik van je netwerk capaciteit. Dus de in en uitgaande kb/s.
Dit was voor mij ook al enkele weken niet meer te bekijken. Wilde wel iets weer geven, maar er kwam niks.

Dus was dit misschien al voor mij een teken dat er iets aan de hand was met de NAS.
Maargoed, dit is weer achteraf bezien, kijk je een koe in......

Voor een ieder die dit leest en dit ook heeft misschien een tip....