Synology-NAS-Geräte als Bitcoin-Miner missbraucht
Ältere Versionen der DSM-Software auf Storage-Systemen des Herstellers Synology haben Sicherheitslücken, durch die es Angreifern gelungen ist, die Geräte mit Bitcoin-Mining-Schadcode zu infizieren.
- Fabian A. Scherschel
Angreifer infizieren momentan NAS-Systeme von Synology mit einem Schädling, der die Netzwerkspeicher zu Bitcoin-Miner umfunktioniert. Anfällig sind laut betroffenen Nutzern alle Versionen bis 4.3.-3810 Update 3 der DiskStation-Manager-Software (DSM). In neueren Ausgaben der Software soll das Problem behoben sein.
Die dem Hack zugrunde liegende Sicherheitslücke scheint ein unter der CVE-Nummer 2013-6987 veröffentlichtes Problem mit dem Verzeichnisdienst der NAS-Systeme zu sein. Diese erlauben Angreifern, Schadcode auf dem NAS abzulegen, falls dieses aus dem Internet erreichbar ist. Durch eine zweite Lücke (CVE-2013-6955) kann dieser Schadcode dann ausgeführt werden.
Einigen Nutzern der Geräte war aufgefallen, dass diese sich nicht mehr richtig ansprechen ließen – im Gerätemanager zeigte sich dann schnell, dass die CPU komplett ausgelastet war. Opfer des Hacks berichten, dass der Bitcoin-Miner verschiedene Prozessnamen benutzt. Auf manchen Geräten hatten diese den auffälligen Namen "PWNED", auf anderen waren sie eher unauffällig als "httpd-log" betitelt. Die Hostingfirma Domainfactory empfiehlt, auf den betroffenen Systemen diese Prozesse zu beenden und anschließend die neueste DSM-Version zu installieren. Eine Anleitung hierfür findet sich bei Synology.
Nutzer sollten sich auf jeden Fall zwei Mal überlegen, NAS-Systeme aus dem Internet erreichbar zu machen. Wer NAS-Funktionen über das Internet zugänglich macht, geht ein unkalkulierbares Risiko ein. Das gilt nicht nur für Synology, sondern auch für Geräte anderer Hersteller. (fab)
