Le Disk Station Manager de Synology est une nouvelle fois dans la tourmente. Après les déboires du début d'année, une importante faille de sécurité a été découverte sur le serveur VPN, permettant à des personnes non autorisées à se connecter à l'insu de l'utilisateur, ce que nous avons d'ailleurs pu vérifier lors de nos essais. Afin de corriger cela, le fabricant a récemment mis en ligne une nouvelle version de son application.

Après  une faille sur le gestionnaire de fichiers, c'est au tour du serveur VPN

Il y a quelques semaines, la présence d'une faille de sécurité sur le gestionnaire de fichiers du Disk Station Manager (DSM) 4.3 était confirmée par Synology. Le fabricant avait alors déployé une nouvelle version du DSM 4.3, la 3810-Update 4, puis un hotfix permettant de nettoyer les NAS infectés. Alors que le constructeur se prépare au lancement du DSM 5.0 en version finale, avec la prise en charge attendue de la clé HDMI Chromecast, un nouveau problème de sécurité a été découvert, sur le serveur VPN cette fois-ci.

Si l'on en croit le forum du fabricant, les premiers retours des utilisateurs concernant cette faille remontent à début décembre. Le souci viendrait du fait que le mot de passe du compte root, « synopass », serait stocké en clair et qu'il ne pourrait pas être changé. S'il ne permet pas de s'identifier sur l'interface d'administration ou bien en SSH, il peut par contre servir à se connecter sur votre serveur VPN. Le CERT s'est penché sur la question et a publié un bulletin d'alerte la semaine dernière.

Une faille de sécurité assez simple à mettre en œuvre

De notre côté, nous avons tenté l'expérience sur un DS109 de Synology avec la dernière mouture du DSM disponible pour ce modèle, la 4.2, et l'application VPN Server en 1.2 - 2313. Et nous avons effectivement pu nous connecter avec les identifiants root / synopass via OpenVPN, et ce, alors que l'utilisateur n'est même pas présent dans la liste des comptes autorisés.

Nous n'avons par contre pas pu tester avec le protocole L2TP/IPSec car il faut disposer du DSM 4.3 au minimum pour cela, mais les retours des utilisateurs indiquent que la situation est identique. Notez par contre que, d'après nos différents essais, cela ne fonctionne pas avec le protocole PPTP.

Trois mois après la découverte, Synology publie une mise à jour 1.2 - 2317

Alors que les premiers retours datent de début décembre, Synology ne s'est apparemment intéressé au problème que très récemment et vient seulement de mettre à jour son application VPN Server qui passe pour l'occasion en version 1.2 - 2317. Les notes de versions ne laissent d'ailleurs pas de place au doute puisqu'elles précisent qu'il s'agit d'« empêcher les accès non autorisés ». Nos essais permettent de confirmer que le souci est en effet réglé.

Il est donc recommandé de procéder au plus vite à la mise à jour de votre serveur VPN. Pour cela, il suffit de vous rendre dans le « Centre des paquets », puis d'aller sur l'onglet « Installé », de chercher « VPN Server » dans la liste et enfin de cliquer sur mise à jour. La procédure ne prend que quelques secondes.

Nous avons évidemment testé le DSM 5.0 bêta, mais lors de nos tentatives nous n'avons pas pu nous connecter via OpenVPN avec le compte root. Bien évidemment, nous avons contacté Synology afin d'avoir de plus amples précisions et la confirmation que le DSM 5.0 n'était pas concerné. De plus, on regrette pour le moment que le correctif ne soit disponible que pour les NAS équipés du DSM 4.0 minimum. Qu'en est-il de ceux qui ne peuvent pas en profiter (les DS-x07 et plus anciens) ? Nous tâcherons d'en savoir plus rapidement.