Ältere Versionen der DSM-Software auf Storage-Systemen des Herstellers Synology haben Sicherheitslücken, durch die es Angreifern gelungen ist, die Geräte mit Bitcoin-Mining-Schadcode zu infizieren.
Angreifer infizieren momentan NAS-Systeme von Synology mit einem Schädling, der die Netzwerkspeicher zu Bitcoin-Miner umfunktioniert. Anfällig sind laut betroffenen Nutzern[1] alle Versionen bis 4.3.-3810 Update 3 der DiskStation-Manager-Software[2] (DSM). In neueren Ausgaben der Software soll das Problem behoben sein.
Die dem Hack zugrunde liegende Sicherheitslücke scheint ein unter der CVE-Nummer 2013-6987 [3]veröffentlichtes Problem mit dem Verzeichnisdienst der NAS-Systeme zu sein. Diese erlauben Angreifern, Schadcode auf dem NAS abzulegen, falls dieses aus dem Internet erreichbar ist. Durch eine zweite Lücke (CVE-2013-6955[4]) kann dieser Schadcode dann ausgeführt werden.
Einigen Nutzern der Geräte war aufgefallen, dass diese sich nicht mehr richtig ansprechen ließen ? im Gerätemanager zeigte sich dann schnell, dass die CPU komplett ausgelastet war. Opfer des Hacks berichten, dass der Bitcoin-Miner verschiedene Prozessnamen benutzt. Auf manchen Geräten[5] hatten diese den auffälligen Namen „PWNED“, auf anderen waren sie eher unauffällig als „httpd-log“ betitelt. Die Hostingfirma Domainfactory empfiehlt[6], auf den betroffenen Systemen diese Prozesse zu beenden und anschließend die neueste DSM-Version zu installieren. Eine Anleitung[7] hierfür findet sich bei Synology.
Nutzer sollten sich auf jeden Fall zwei Mal überlegen, NAS-Systeme aus dem Internet erreichbar zu machen. Wer NAS-Funktionen über das Internet zugänglich macht, geht ein unkalkulierbares Risiko ein. Das gilt nicht nur für Synology, sondern auch für Geräte anderer Hersteller. (fab[8])