I NAS, in generale, sono sotto attacco 24/7: ci sono continui attacchi diretti a dispositivi del genere da parte di bot e simili, in questo caso però si tratta di un attacco “massiccio” da parte di una rete botnet diretta ai NAS Synology.
Vediamo cosa ha riportato Synology, se ci sono pericoli in merito e cosa possiamo fare per assicurarci la sicurezza del NAS.
In passato ci sono stati diversi attacchi diretti a NAS, come ad esempio i numerosi attacchi verso i NAS QNAP.
Attacco veicolante lo StealthWorker
Il team di analisi Product Security Incident Response Team ha individuato un’attacco da parte di una botnet veicolante il malware “StealthWorker“. Allo stato attuale non ci sono casi di exploit di vulnerabilità nei NAS.
Attualmente sembra che la botnet sta usando dei dispositivi già infetti cercando di usare le credenziali amministrative presenti di default, se riesce ad accedere caricherà il payload malevolo, incluso un ransomware.
L’attacco riguarda anche i NAS basati su Linux.
Synology sta lavorando con il patrocinio di alcuni CERT nazionali per cercare di individuare i server C&C che stanno dietro alla rete botnet.
Vediamo alcuni trick per mettere in sicurezza il NAS.
Come mettere in sicurezza il NAS
Ecco alcuni punti da applicare per mettere in sicurezza il NAS:
- la prima cosa da fare è disabilitare l’account amministratore attivo di default
- suddividere i privilegi di accesso creando gruppi e quote di spazio da utilizzare
- impostare la sicurezza e la complessità delle password dal pannello di controllo > Utenti e Gruppi > Avanzate > Impostazioni Password
- dallo stesso percorso sopra impostare anche la modalità di scadenza password
- abilitare l’autenticazione a due fattori dal percorso Opzioni > Personale > Account
- limitare il numero di tentativi di accesso da parte di un indirizzo IP dal percorso Pannello di Controllo > Sicurezza > Account
- configurare soltanto le porte strettamente necessarie per l’accesso da remoto
- abilitare la protezione DDOS dal percorso Pannello di Controllo > Sicurezza > Protezione > Abilitare protezione DoS
- cambiare le porte utilizzate di default per l’accesso, le porta preimpostate sono:
- HTTP: 5000
- HTTPS: 5001
- SSH: 22
- è possibile farlo dal percorso Pannello di Controllo > Terminal & SNMP > Terminal > Porte SSH Predefinite
E voi avete notato qualche problema con il vostro server Synology? E’ fondamentale applicare le regole di sicurezza suggerite sopra o, perlomeno, applicarne almeno la metà in modo da mettere al “sicuro” il NAS domestico o aziendale che sia.