jueves, 13 de febrero de 2014

Equipos Synology hackeados para minar Bitcoins

Desde hace ya ¿un par de meses aproximadamente? se filtró el aviso de un grave fallo de seguridad en equipos NAS Synology que corriesen bajo DSM 4.3-3810 Update 3, concretamente esta vulnerabilidad afectaba al Windows File Service (el famoso y muy usado protocolo SMB que está habilitado en el 90% de estos equipos).

El fallo en cuestión permitía a un atacante el acceso a ciertos archivos y la modificación, sobrescritura o incluso eliminación de ficheros, y curiosamente parece que esta vulnerabilidad se ha usado masivamente por ciertos hackers para minar Bitcoins haciendo uso no autorizado de los equipos detectados que se encontraban expuestos de cara a Internet públicamente.

Pese a que Synology publicó una actualización para corregir este agujero, el update DSM 4.3-3810 Update 4 son muchos los usuarios que ya han sido afectados y que incluso después de actualizar siguen con este problema, y es que el síntoma principal es el uso de CPU casi al 100%.


¿Porqué usar equipos Synology para minar Bitcoins?
La llamada minería de Bitcoins consiste en dedicar ordenadores y servicios de procesamiento para realizar cálculos de algoritmos complejos que permiten una vez descifrados obtener los famosos Bitcoins, el problema es que estas operaciones son de alta nivel y requieren equipos potentes, por este motivo si podemos decir que lo habitual dentro de un NAS doméstico o de PYME lo más potente está basado sobre una CPU Intel Atom estas no son realmente prácticas porque comparativamente son mucho más lentas para estos complejos procesos. El problema es que hay terceras personas que les es indiferente este detalle y buscan absolutamente cualquier mínima capacidad de cáculo para realizar estas tareas de minería y porner estos equipos a trabajar de forma conjunto en vez de individual.

¿Porqué no es recomendable usar un NAS para minar Bitcoins?
NO. Hay utilidades para nuestros NAS que permiten gestionar sistemas de minería, pero no debes utilizar tu propio NAS para realizar estos cálculos por el simple motivo que exprimen al 100% el procesador de tu NAS, aumentando el calor y esfuerzo de la placa al máximo de sus capacidades y por consecuencia agotando la vida útil del NAS. El mercado de segunda mano está lleno de tarjetas gráficas de alta gama (AMD 7990 por ejemplo) casi quemadas tras usos intensivos en procesos de minería. Por desgracia este detalle no le preoupa a estas personas que acceden ilegalmente a tu NAS para aprovecharse de este.

Detectar si tu NAS ha sido hackeado
Ya he dicho que el síntoma principal es que la CPU consumo el 100% de sus recursos provocando lógicamente una lentitud general a veces desesperante, pero este síntoma puede venir también por otras causas como CloudStation o algún programa basado en Python. El chivato que nos dirá si nuestro NAS ha sido efectivamente hackeado es la existencia de una carpeta en nuestro sistema /PWNED, en caso de existir mucho me temo que habremos sido hackeados. Exite un proceso pero no siempre aparece en el monitor de recursos de DSM, suele tener el nombre PWNED junto a alguna letra.


Otros de los síntomas es que diferentes comandos usados bajo SSH de las librerías Linux han desaparecido como pueden ser los comandos "ps", "rm" o "ls".

Eliminar este hackeo
Por desgracia la respuesta oficial de Synology ha sido que en caso de estar afectados esto habrá pasado mientras teníamos instalado DSM 4.3-3810 Update 3, aunque actualicemos a la versión  4.3-3810 Update 4 los scripts y modificaciones que provocan este desastroso efecto no se revertirán y en la gran mayoría de situaciones seguiremos igual. ¿Solución? Resetear nuestro NAS y realizar una nueva instalación de DSM en el equipo, una medida drástica pero efectiva, en caso de realizarla te recomiendo que hagas un backup de tu configuración para evitar perder el mínimo tiempo posible configurando de nuevo tu NAS

Afortunadamente la comunidad de Synology es grande y hay quienes han realizado un pequeño tutorial para revertir las modificaciones que este hackeo haya podido hacer en tu NAS, únicamente deberemos seguir una serie de pasos que pondré en una segunda entrada sobre este tema, aunque es posible que no sirva para el 100% de las infecciones. Toda la información y detalles está compartida en el foro inglés de Synology.

Recuerda siempre la importancia de mantener tu sistema actualizado a la última versión estable y oficial de firmware para evitarte sustos y problemas.

UPDATE: Iba a compartir la forma manual de reparar este problema pero finalmente Synology ha lanzado una actualización de DSM que corrige el problema si fuistes hackeado, más información aquí.

2 comentarios:

Buen artículo y gracias por la información. Afortunadamente mi NAS está limpio.

Cada vez tenemos que vigilar más el tema de seguridad, en este caso se han limitado a explotar la potencia de nuestro NAS, pero quien sabe si próximamente se dedican a robar datos... miedo me da...

Publicar un comentario

Share

Twitter Delicious Facebook Digg Stumbleupon Favorites More