lunes, 3 de marzo de 2014

Vulnerabilidad grave en Synology DSM 4.3-3810 update 1 en el módulo OpenVPN

Parece que la única versión afectada por este problema son las versiones DSM 4.3-3810 update 1, update 2 y update 3 y DSM 4.3-3827 y afecta solo si tenemos habilitada la conexión OpenVPN, tendencia muy de moda entre aquellos usuarios que utilizan el servicio VPN en su NAS Synology.


Parece ser que el problema radica en la existencia una contraseña por defecto "synopass" para el usuario "root" y que no puede ser cambiado de forma sencilla, afortunadamente el alias "admin" para gran parte de los servicios que se validan en el linux embedido de los equipos que corren con DSM evita que se pueda utilizar este "agujero" para explotar otras opciones de acceso no autorizado, aunque no sería de extrañar que próximamente veamos algún exploit basado en este problema.

El problema se basa en que el servicio que sí se sabe que es sensible a este problema en el módulo OpenVPN si tienes instalado el servidor VPN en tu NAS.

Por desgracia las credenciales root no están disponibles dentro de la sección de privilegios para intentar restringir el acceso a este usuario (sí que aparece "admin"), lo que posibilita al conexión sencilla de este usuario remotamente.

Se recomienda actualizar deshabilitar el protocolo OpenVPN y pasar a uno alternativo como L2TP/IPSec si necesitas conectarte a tu NAS o red vía VPN a la espera que Synology libere una nueva versión de DSM 4.x que corrija este problema o el update de VPN Server pertinente.

Otra opción sería sustituir el módulo de autenticación de OpenVPN/usr/syno/etc/packages/VPNCenter/openvpn/) utilizado por este protocolo y colocar otro nuestro tipo script bash/perl/python que ataque contra una base de datos SQLite3 donde pongamos los usuarios y contraseñas a las que podrá validarse el servicio.

UPDATE: Synology la liberado hoy mismo la versión 1.2-2317 de su aplicación VPN Server que corrige este problema, la comunidad estaba comenzando a impacientarse puesto que este problema ya llevaba tres meses anunciado en los foros oficiales, aunque parece ser que la versión DSM 5.0 Beta y su respectiva app no estaban afectados por el problema. Recomendado actualizar lo antes posible.

Aviso oficial y Foro oficial de Synology donde se sigue este problema

6 comentarios:

Carlos, en este momento vamos por la versión 4.3-3827, por lo que el mejor consejo sería actualizar el DSM a la última versión disponible.

Buf, se nota que he estado algo desconectado, no?? Gracias por el aviso, modifico.

ya he incluido el resto de versiones, según el soporte de Synology el fallo sigue vigente.

Acaban de liberar una nueva versión de VPN Server que corrige el problemas :)

¿Han estado 3 meses con este problema? Me parece gravísimo!

Es lo de siempre, cuanto más conocido es un producto y más usuarios tenga, más vulnerable. Bueno, en realidad no es más vulnerable, sino que hay más gente dispuesta a dedicarle tiempo a encontrar esos pequeños fallos de seguridad para cometer "maldades".

Publicar un comentario

Share

Twitter Delicious Facebook Digg Stumbleupon Favorites More