¿Tienes un NAS Synology? Una botnet los está atacando por fuerza bruta

El equipo de respuesta a incidentes de seguridad de Synology, el Synology PSIRT, ha recibido en los últimos días informes preocupantes sobre un aumento de ataques de fuerza bruta contra los servidores NAS del fabricante. Este aumento de fuerza bruta podría ser debido a que existe una botnet centrada específicamente en atacar sus dispositivos por fuerza bruta, con el objetivo de hackearlos y acceder a todos los datos. ¿Tienes un NAS Synology? Entonces te interesa saberlo todo sobre este ataque.

¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta consiste en probar todas las combinaciones de usuarios y contraseñas posibles, con el objetivo de entrar a un sistema de forma ilegítima. Normalmente los servidores NAS disponen de herramientas para mitigar los ataques de fuerza bruta, por ejemplo, limitando el número de contraseñas fallidas para un determinado usuario, si se sobrepasa el umbral automáticamente se podría bloquear a dicho usuario hasta que el administrador lo desbloquee. Otra configuración muy habitual está en bloquear la dirección IP de origen que está realizando decenas o cientos de intentos de entrar en el sistema con un usuario y contraseña en concreto.

Si hablamos de una botnet que está realizando ataques por fuerza bruta, esto significa que tendremos múltiples direcciones IP de origen intentando entrar en nuestro sistema operativo, por lo que las medidas de mitigación no serían del todo efectivas en estos casos, porque bloquearemos una IP pública de origen o varias, pero los ataques vendrán de otras direcciones IP que no hemos bloqueado.

¿Qué sabe Synology sobre este ataque?

El equipo de respuesta a incidentes de seguridad de Synology no ha detectado ningún indicio de que la botnet esté intentando explotar alguna vulnerabilidad de seguridad en el sistema operativo, por tanto, en principio estaríamos protegidos frente a posibles vulnerabilidades. Este ataque lo que está haciendo actualmente es intentar comprometer las credenciales de administrador en los servidores NAS del fabricante. En caso de éxito, a continuación, se instala un malware que podría incluir un ransomware para cifrar todos nuestros archivos del servidor NAS.

Por supuesto, un dispositivo infectado podría llevar a cabo otros ataques, como ataques de fuerza bruta a otros servidores de Synology que no hayan sido comprometidos hasta el momento. El equipo de Synology PSIRT está trabajando consiguiendo la máxima información posible e intentando cerrar todos los servidores C&C (comando y control) causantes de este ataque, a la vez que avisa a los clientes que pudieran estar afectados.

Recomendaciones de seguridad a seguir

Las recomendaciones que nos proporciona Synology pasan por revisar la política de contraseñas y las contraseñas de los usuarios administradores, en busca de credenciales débiles. También es recomendable activar la autenticación en dos pasos para mejorar la seguridad de la cuenta de administración, e incluso habilitar el bloqueo automático de los diferentes usuarios si se introduce la contraseña mal en muchas ocasiones.

Desde RedesZone también os recomendamos lo siguiente:

  • Cerrar todos los puertos en tu router, al menos temporalmente, excepto los que necesites sí o sí como el de las VPN.
  • Si necesitas acceder al NAS de Synology, utiliza únicamente una VPN con el correspondiente puerto abierto.
  • No expongas la interfaz web de administración a Internet, podría ser un vector de ataque.
  • Revisa toda la actividad reciente de tu servidor NAS en busca de un comportamiento anómalo.
  • Realiza una copia de seguridad 3-2-1 de tus datos.

En RedesZone os mantendremos informados sobre todas las novedades que aparezcan respecto a este ataque de fuerza bruta que está afectando a los servidores de Synology.