Depuis quelques jours, plusieurs utilisateurs de produits Synology constatent des tentatives de connexion intempestives sur leurs NAS, provenant d'un peu partout dans le monde. Dans le détail, comme l'explique notre lecteur Guillaume touché par le problème, les malandrins multiplient les essais pour se connecter à DSM, le système d'exploitation du constructeur. Des témoignages que l'on retrouve sur Reddit (ici et là) ou encore sur Twitter.
Synology a officiellement réagi aujourd'hui, en confirmant une vague d'attaques par force brute. Les chercheurs de l'équipe PSIRT de l'entreprise (équipe d'intervention en cas d'incident concernant la sécurité des produits) pointent du doigt un botnet de la famille StealthWorker.
En revanche, toujours selon le PSIRT, le malware n'exploite aucune vulnérabilité logicielle puisque les attaques tirent profit d'appareils déjà infectés pour « compromettre les informations d'accès administratif courantes dans des systèmes propres ». Quand les attaques sont réussies, le malware installe une charge malveillante et possiblement un rançongiciel. Par ailleurs, ces appareils infectés peuvent lancer des attaques supplémentaires sur d'autres appareils basés sur Linux, à l'instar des NAS de Synology.
Le constructeur travaille actuellement à éteindre les serveurs commande & contrôle (C&C) qui sont responsables du malware, et prévient les utilisateurs potentiellement touchés. Pour le moment, Synology recommande d'activer le blocage automatique et la protection des comptes, il suggère aussi chaudement de mettre en place l'authentification à plusieurs facteurs. On peut suivre les conseils de Syno à cette adresse.
