Le Disk Station Manager de Synology est une nouvelle fois dans la tourmente. Après les déboires du début d'année, une importante faille de sécurité a été découverte sur le serveur VPN, permettant à des personnes non autorisées à se connecter à l'insu de l'utilisateur, ce que nous avons d'ailleurs pu vérifier lors de nos essais. Afin de corriger cela, le fabricant a récemment mis en ligne une nouvelle version de son application.
Après une faille sur le gestionnaire de fichiers, c'est au tour du serveur VPN
Il y a quelques semaines, la présence d'une faille de sécurité sur le gestionnaire de fichiers du Disk Station Manager (DSM) 4.3 était confirmée par Synology. Le fabricant avait alors déployé une nouvelle version du DSM 4.3, la 3810-Update 4, puis un hotfix permettant de nettoyer les NAS infectés. Alors que le constructeur se prépare au lancement du DSM 5.0 en version finale, avec la prise en charge attendue de la clé HDMI Chromecast, un nouveau problème de sécurité a été découvert, sur le serveur VPN cette fois-ci.
Si l'on en croit le forum du fabricant, les premiers retours des utilisateurs concernant cette faille remontent à début décembre. Le souci viendrait du fait que le mot de passe du compte root, « synopass », serait stocké en clair et qu'il ne pourrait pas être changé. S'il ne permet pas de s'identifier sur l'interface d'administration ou bien en SSH, il peut par contre servir à se connecter sur votre serveur VPN. Le CERT s'est penché sur la question et a publié un bulletin d'alerte la semaine dernière.
Une faille de sécurité assez simple à mettre en œuvre
De notre côté, nous avons tenté l'expérience sur un DS109 de Synology avec la dernière mouture du DSM disponible pour ce modèle, la 4.2, et l'application VPN Server en 1.2-2313. Et nous avons effectivement pu nous connecter avec les identifiants root / synopass via OpenVPN, et ce, alors que l'utilisateur n'est même pas présent dans la liste des comptes autorisés.
Nous n'avons par contre pas pu tester avec le protocole L2TP/IPSec car il faut disposer du DSM 4.3 au minimum pour cela, mais les retours des utilisateurs indiquent que la situation est identique. Notez par contre que, d'après nos différents essais, cela ne fonctionne pas avec le protocole PPTP.
Trois mois après la découverte, Synology publie une mise à jour 1.2-2317
Alors que les premiers retours datent de début décembre, Synology ne s'est apparemment intéressé au problème que très récemment et vient seulement de mettre à jour son application VPN Server qui passe pour l'occasion en version 1.2-2317. Les notes de versions ne laissent d'ailleurs pas de place au doute puisqu'elles précisent qu'il s'agit d'« empêcher les accès non autorisés ». Nos essais permettent de confirmer que le souci est en effet réglé.
Il est donc recommandé de procéder au plus vite à la mise à jour de votre serveur VPN. Pour cela, il suffit de vous rendre dans le « Centre des paquets », puis d'aller sur l'onglet « Installé », de chercher « VPN Server » dans la liste et enfin de cliquer sur mise à jour. La procédure ne prend que quelques secondes.
Nous avons évidemment testé le DSM 5.0 bêta, mais lors de nos tentatives nous n'avons pas pu nous connecter via OpenVPN avec le compte root. Bien évidemment, nous avons contacté Synology afin d'avoir de plus amples précisions et la confirmation que le DSM 5.0 n'était pas concerné. De plus, on regrette pour le moment que le correctif ne soit disponible que pour les NAS équipés du DSM 4.0 minimum. Qu'en est-il de ceux qui ne peuvent pas en profiter (les DS-x07 et plus anciens) ? Nous tâcherons d'en savoir plus rapidement.
Commentaires (57)
Ah ouais quand même… Déjà qu’avec le problème avec le SMB c’était pas fameux, mais alors là c’est d’un tout autre niveau quand même.
" />
Gros gros carton rouge à Synology pour le coup, et à mon avis ils vont s’en prendre plein la gueule avec un truc aussi important.
Pas directement lié à la news, mais a-t-on une timeframe pour la date de sortie officielle du DSM 5.0 ?
le mot de passe du compte root, « synopass », serait stocké en clair et qu’il ne pourrait pas être changé.
Affligeant….
M’en tape, j’utilise pas les outils de VPN
" />
C’est quand même gros comme faille …
Faudra que je regarde cet compte root, la dernière fois que je me suis connecté au syno en Telnet, il me semble que j’ai utilisé le MdP admin que j’avais entré dans le système, et pas “synopass”, que je ne connaissais même pas.
Etrange cette histoire de “root”
Alors que les premiers retours datent de début décembre, Synology ne s’est apparemment intéressé au problème que très récemment
Le problème est important mais ça reste un bug. Mais pour le délai de correction c’est
le mot de passe du compte root, « synopass », serait stocké en clair et qu’il ne pourrait pas être changé.
Mais non, c’est un simple easter egg
Chez moi, mon NAS a subi une intrusion pas plus tard que la semaine dernière. Je n’avais pas fait de mise à jour depuis environ 2-3 mois.
Je l’ai remarqué car j’avais un ping d’environ 250ms alors qu’habituellement j’oscille entre 20 et 30.
Après pas mal d’investigations sur mon réseau, je me suis connecté au NAS et ai remarqué que le CPU était à fond et que le traffic réseau était également important. J’ai lancé la mise à jour et tout est rentré dans l’ordre après reboot.
Mais ça fait quand même flipper …
D’ailleurs le compte Root et admin sont-il la même chose ou deux entités différentes ?
Quel est l’intérêt de l’un par rapport à l’autre ?
Mais concrètement ils accèdent à quoi?
En SSH, le compte admin a moins de droits que le compte root sur un NAS Synology.
Pour le VPN je n’utilise que PPTP car un client est intégré dans tous les OS courants. Je n’ai jamais compris l’intérêt de se compliquer la vie avec OpenVPN (hormis pouvoir changer le port par défaut sur le client et se passer du protocole GRE(47) propre à l’encapsulation du trafic en PPTP).
Pour ma part j’ai essayé root/synopass et ça ne marche pas avec du L2P/IPSEC.
" />
C’est un DS713+ avec DSM 4.3-3810
Bizarre
Ou alors j’ai loupé quelque chose….
Bonjour,
Quelqu’un saurais si il y a possibilité d’autorisé uniquement les connection local sur son nas ?
Il faudrait connaître aussi la clé partagé (pour le L2TP/IPSec) pour se connecter au VPN non? Ou ce utilisateur root peut avoir l’accès sans cette clé?
Il y a des stagiaires chez Syno?
Il y a des chinois qui vont tester tous les myds.me et compagnies à la recherche du NAS qui n’aura pas fait la maj de son serveur vpn … Il y aura des victimes.
" />
Voila pourquoi je préféré QNAP entre autre, de plus leur applis a QNAP sont plus dirigée vers les professionnels, contrairement a SYNO
" />
" />
Il y a de quoi devenir enragé
A mon avis, ils avaient monté cet accès au moment du développement du logiciel afin de se faciliter la vie, et ils avaient oublier de l’enlever une fois la mise en prod. C’est pas extraordinaire comme bourde, même si les conséquences potentielles peuvent être sévères.
Après, ils ont quand même corrigé le tir dans un délai pas trop indécent, c’est l’essentiel qu’il faut retenir.
C’est pas une faille ça… C’est une porte grande ouverte avec quelque qui dis “Viens, entre, c’est open bar!”
" />
Gros manque de sérieux sur ce coup
Je viens d’essayer en root et nsapass, pas de connexion, ouf !
" />
Edit: J’avais mis rsa au lieu de nsa.
Vous m’éclatez tous ….
On pointe du doigt une faille sur un service … c’est bien !
Mais les wattmille autres services que vous ouvrez sur le web (smtp, pop3, https, https, gre etc etc.), sont tout aussi vulnérables … mais vous ne le savez pas encore !
Et vous le saurez peut être jamais d’ailleurs car on ne communiquera pas. La backdoor sera ouvert éternellement.
Bien entendu nous ne parlerons pas des backdoor et failles (volontaires ou non) présents dans vos CMS, blog , wiki, fasse de bouc, site web etc etc.)
Allez n’en parlez plus m’a t-on dit. C’est le moment, c’est pas trop tot, de parler des troisième couteaux …. (to be continued)
cette histoire là, ça pue le backdoor à plein nez… ce compte a été codé exprès, soit disant qu’ils viennent de corriger la faille, mais qui nous dit qu’ils n’ont pas simplement modifié le mot de passe de ce compte furtif ?
De toute manière, la façon dont Synology propose d’utiliser OpenVPN à la mode “noob” est un peu bidon. Un mot de passe… la belle affaire !..
Personnellement j’ai installé leur bazar, mais fait les fichiers de configuration à la main pour gérer des certificats qui sont disposés sur chaque machine cliente (+ le serveur). Certificats que j’ai bien sûr fabriqués moi-même.
Ensuite, les postes qui se connectent hors du réseau local ont une règle de firewall sur le Synology et bien sûr, ce seul port là forwardé par la box (et bien sûr, ce n’est pas le 1194, trop évident !)
Ainsi, pas d’accès pas mot de passe bidon, pas de faille.
… ah oui, bien sûr, aussi la clé symétrique préalable pour éviter les dénis de service pour le cas où un petit malin trouverait le port de la box ouvert (remarquez qu’en principe il est rejeté avant par l’iptables du Synology… c’est juste que s’il y a aussi une faille là…)
Trop gros, après les “bug” sur les librairies SSL / TLS …
" />
Le pass root est normalement identique au pass du compte admin
" /> ) ce qui précède reste vrai, en tout cas pour la dernière version stable de DSM, ou j’ai mal lu un truc.
donc à part les “beleux” qui changent pas leur pass admin j’vois pas le problème.
Mais pas test le vpn, mais y a pas raison si on parle bien de compte local (qui est pas normal soit !