Synology-NAS-Geräte als Bitcoin-Miner missbraucht

Ältere Versionen der DSM-Software auf Storage-Systemen des Herstellers Synology haben Sicherheitslücken, durch die es Angreifern gelungen ist, die Geräte mit Bitcoin-Mining-Schadcode zu infizieren.

In Pocket speichern vorlesen Druckansicht 79 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Angreifer infizieren momentan NAS-Systeme von Synology mit einem Schädling, der die Netzwerkspeicher zu Bitcoin-Miner umfunktioniert. Anfällig sind laut betroffenen Nutzern alle Versionen bis 4.3.-3810 Update 3 der DiskStation-Manager-Software (DSM). In neueren Ausgaben der Software soll das Problem behoben sein.

Die dem Hack zugrunde liegende Sicherheitslücke scheint ein unter der CVE-Nummer 2013-6987 veröffentlichtes Problem mit dem Verzeichnisdienst der NAS-Systeme zu sein. Diese erlauben Angreifern, Schadcode auf dem NAS abzulegen, falls dieses aus dem Internet erreichbar ist. Durch eine zweite Lücke (CVE-2013-6955) kann dieser Schadcode dann ausgeführt werden.

Einigen Nutzern der Geräte war aufgefallen, dass diese sich nicht mehr richtig ansprechen ließen – im Gerätemanager zeigte sich dann schnell, dass die CPU komplett ausgelastet war. Opfer des Hacks berichten, dass der Bitcoin-Miner verschiedene Prozessnamen benutzt. Auf manchen Geräten hatten diese den auffälligen Namen "PWNED", auf anderen waren sie eher unauffällig als "httpd-log" betitelt. Die Hostingfirma Domainfactory empfiehlt, auf den betroffenen Systemen diese Prozesse zu beenden und anschließend die neueste DSM-Version zu installieren. Eine Anleitung hierfür findet sich bei Synology.

Nutzer sollten sich auf jeden Fall zwei Mal überlegen, NAS-Systeme aus dem Internet erreichbar zu machen. Wer NAS-Funktionen über das Internet zugänglich macht, geht ein unkalkulierbares Risiko ein. Das gilt nicht nur für Synology, sondern auch für Geräte anderer Hersteller. (fab)