Il s’agit d’une faille Zero-Click qualifiée de critique qui concerne les NAS Synology et à corriger immédiatement. Cela concerne une application très populaire de gestion de photos. L’outil Photo Station ou Synology Photos de Synology permet d’attaquer votre NAS de manière automatique.
Première chose à faire donc si vous êtes propriétaire d’un NAS Synology, avant même de lire la suite de ce billet, corriger la faille. Pour se faire allez dans l’interface de votre NAS en pianotant son IP dans un navigateur.1 Authentifiez vous avec votre login et votre mot de passe. Puis allez dans « Centre de paquet » et mettez à jour l’application « Photo Station » ou « Synology Photos ». Attention, ne vous croyez pas à l’abri si vous avez configuré votre NAS pour qu’il fasse les mises à jour critiques de manière automatique. Pour ma part, mon NAS n’avait pas mis à jour l’application qui corrige le problème de manière automatique. Un ami avec un NAS équivalent a rencontré le même problème. Vérifiez absolument que dans votre centre de paquets votre NAS Synology liste bien un « Photo Station » ou un « Synology Photos » avec la date du 1/11/2024 !
La faille est qualifiée de Zéro-Click parce que l’infection ne nécessite aucune action de la part de l’utilisateur pour que votre NAS soit infecté. Installée par défaut sur la majorité des NAS Synology, l’attaque permet d’obtenir l’accès au données, de les copier, de les modifier, d’installer des fichiers vérolés ou corrompus et même d’infecter l’ensemble du stockage avec un ransomware pour extorquer de l’argent à son ou ses propriétaires. Des outils mafieux spécialisés sur ces NAS Synology existent déjà et peuvent être intégré très facilement dans des outils de ce type, même par un débutant dans ce type d’attaques en suivant un guide.
Installé par défaut et mis en service comme un des atout de base de ce type de NAS, Photo Station/Synology Photos est donc potentiellement disponible pour toutes les mafias de la planète. Le souci étant que si votre réseau est mal configuré et ouvert sur le net, il est tout à fait possible que des listings des machines connectées dessus aient été identifiées et associées à votre IP par des réseaux mal intentionnés. Et rien de plus simple alors que de profiter de ce long Week End du premier novembre pour venir tester votre sécurité et essayer de voler vos données. Toutes vos données.
J’ai conseillé à maintes reprises pendant de très nombreuses années des NAS Synology à des lecteurs comme à des proches. Toutes ces machines sont par défaut corruptibles. Il faut absolument faire cette mise à jour technique qui ne demande que quelques minutes. Au pire, il est nécessaire de désactiver cette solution Photo Station/ Synology Photos si vous la découvrez active sur votre NAS mais que vous ne vous en servez pas.
Source : Wired et merci à Biou pour l’info !
Notes :
2,5€ par mois | 5€ par mois | 10€ par mois | Le montant de votre choix |
Merci pour l’info.
J’ai un DS216+II.
Je n’ai pas « photo station » d’installé. Aucun paquet à ce nom n’est disponible dans mon Centre de paquets.
Mon appli photos est « Synology Photos ».
Y’a bien des stations dispo : download station, file station, vidéo station, audio station, mail station, note station, surveillance station et même Web station, mais aucune trace de « photo station ».
Bonjour Pierre,
Je suis content que tu parles de cette faille. Pour ma part, j’ai un Synology DS213+. Je viens d’aller voir la version de l’application dans mon centre de paquets, et je vois que la dernière mise à jour a été faite le 1er novembre 2022… (version 6.8.16-3506). Je ne vois aucune possibilité d’installer une autre mise à jour dans mon centre de paquets. Que ferais-tu à ma place? Désinstallerais-tu directement Photo Station? Je te remercie d’avance pour ton avis.
Signé Nicolas, un lecteur qui te suit depuis ton test du Toshiba nb200, et que tu m’avais fait acheter! (ça date).
@Jo: C’est la même, habillée différemment. Si tu as une mise à jour datée du 1/11 fais là.
@Nicolas: Désinstalle ! Surtout si tu ne t’en sers pas. Sinon tu n’as pas d’autres maj plus globales de ton NAS (système complet, PHP) qui sont proposées ? Il est possible qu’il faille d’abord mettre a jour le système avant que l’application puisse être mise à jour elle même.
À moins que Synology décide de faire une mise à jour pour les anciens systèmes, non. La dernière version du DSM est la 6.2.4-25556 qui date du 2 mai 2023. J’ai désinstallé le paquet!
On s’entend, c’est un appareil qui n’est plus mis à jour. Je me pose la question de simplement le brancher à mon ordinateur comme gros disque dur externe et de laisser tomber le côté « en ligne ».
@Nicolas: Ca a l’air un peu extrême mais cela finit par faire sens.
https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_19
Mes NAS avaient déjà fait leurs MAJ comme des grands, mais merci de l’info.
@Nicolas:
Si tu le laisses branché à ta box, et que tu désactives la redirection de ports de ladite box, ça sera bon.
Mais avoir un NAS accessible en ligne, cela n’a jamais été une bonne idée, même lorsque des mises à jour de sécurité sont encore disponibles. Déjà parce que ce genre de NAS propose beaucoup (trop) de fonctionnalités, ce qui augmente la surface d’attaque. Ensuite, parce que tu ne vas pas toujours appliquer les correctifs à temps. Enfin, trop d’utilisateurs n’ont ni les compétences ni le temps pour configurer correctement leur NAS, et surtout le surveiller.
Vraiment, un NAS en ligne c’est la pire idée du monde.
Merci vraiment beaucoup pour l’info! Je me suis empressé de faire la MAJ!!!
Je vais maintenant de ce pas verifier si une IP qui ne m’appartient pas s’est connectée dessus.
Question naive, on a moyen de savoir les addresses mac des appareils qui sont connecté sur un nas syno par le passé ou pas? au cas ou…
Bonsoir,
Merci Pierre pour cette information importante.
De mon coté, mon NAS DS1517 me dit que la version de DSM est la 7.1.1-42962 Update 6 et est à jour et que le paquet Synology Photo en version 1.3.3-0330 est la dernière et qu’il n’existe pas de mise à jour.
A priori pas moyen d’upgrader en DSM 7.2 et donc impossible d’upgrader le paquet Synology photo en version supérieure.
Y-a t-il un risque ? Y a t-il un moyen de faire une mise à jour ?
En attendant, je n’ai pas désinstaller le paquet mais j’ai stoppé son exécution.
Merci à tous pour vos conseils.
@LeonidK:
Synology Photos est en 2024-10-30
et DSM en 7.2.1-69057 update 5
Cela semble bon non ? Car je n’ai pas d’autres MAJ de disponible bis sur l’app ni sur DSM
MERCI POUR VOS CONFIRMATIONS
Fake news.
En fait la faille est mal documentée.. et les modèles de NAS sont nombreux chez Synology …
Si vous ne souhaitez pas que votre NAS ‘aille dehors’ tout simplement ne lui donnez pas de passerelle (votre routeur)
Le mien s’est senti revivre quand je l’ai migré vers un vrai linux bien ficelé et non pas le système bricolé d’origine : le formidable OpenMediaVault.
@FlyDutch:
Synology Photos 1.7 for DSM 7.2 Critical Upgrade to 1.7.0-0795 or above.
Synology Photos 1.6 for DSM 7.2 Critical Upgrade to 1.6.2-0720 or above.
Si tu as ces versions c’est bon normalement.
Si je regarde mon DS214Play, la version DSM 1.7.0-0795 update 6 est la dernière en date
et mon paquet Synology Photo 1.3.3-0330 dernier en date de mise à jour..mais elle date de (2022-12-07)
et pas d’autres mise a jour possible, je regarde souvent les mises à jour des paquets, et si je me souviens, photo station à été ‘remplacé’ par Synology Photo, dont je me sert pour la sauvegarde directe des photos prises par mon smartphone sur mon nas (sans passer par la case google)
l’avantage aussi c’est que j’ai numérisé tous les albums photos papier depuis 40 ans, et mes enfants y ont accès facilement depuis leur smartphone
@LeonidK: merci!
Un article digne de /r/dinausore
Merci beaucoup Pierre!
J’ai un DS216+II et je decouvre que la dernière version disponible de DSM est v7.1.1-42962 update 6 et qui date de juin23!
Ma version de Synology Photo est la 1.3.30-0330 et n’est donc pas secure!
Pour passer à DMS v7.2 et donc à la version safe de synology photo(v1.6 ou plus) il faut passer par une maj manuelle de DMS en téléchargeant la dernière version de DMS via leur centre de téléchargement.
Veillez à désinstaller Video Station sinon la maj ne se fait pas!
Cette Maj DMS force la maj synology photo vers la version la plus recente.
Source:
https://www.synology.com/fr-fr/releaseNote/DSM
Donc c’est la mouise….mon Ds214Play n’est pas compatible avec la version 7.2…donc pas possible de mettre a jour SynoPhotos
@Jle:
entierement d accord! à moinss de passer par wireguard ou tailscale
Merci Pierre pour cet avertissement
En lisant les commentaires je me demande si nous devons continuer à encourager l’achat de syno autour de nous
Qu’en est-il des mises à jour ? Des paramètres de sécurité ? Quels sont les utilisateurs capables de creer une alarme pour les avertir qu’un des disques du raid est hs? … que faire lorsque les dsl est obsolète ?
Ne devrions nous pas pousser vers des n100 avec openmediavault et des paramètres simples et gerables par Mr toutleminde?
@Etienne:
Un NAS Syno est par défaut configuré pour bipper bien fort en cas de soucis. Pas d’inquiétude à ce sujet.
Les mises à jour, c’est le souci de tout matériel.
Sur ce point, il y a mieux que Syno, comme par exemple Qnap. Son OS est moins tape à l’oeil, mais son support logiciel est meilleur et plus long.
Mais chez lui aussi il y a une date de péremption.
A moins de savoir ce que tu fais, et d’y investir du temps, tu peux utiliser un OS alternatif, mais as-tu seulement le temps, les compétences et l’envie de passer du temps dessus ?
@Jle
Cela ne me parait plus viable de recommander a un béotien un syno ou équivalent qui va devenir obsolète sans crier gare
Je préfère passer du temps avec lui pour lui mettre en place qqchose de plus durable
@CerfVolant :
pareil ici, un DS214Play mais avec un système au niveau 7.1.1-42962 Update 6 mais Synology Photos en 1.3.30-0330.
En attendant, j’ai stoppé l’application.
@AceT:
Merci j’au pu mettre à jour mon ds218j ;-). Utilisant Synology Photos, je suis soulagé pour la MAJ.
Pour mon DS418play, en 7.1, pas possible de passer directement à la dernière version, j’ai du passer par la 7.2.0 : https://archive.synology.com/download/Os/DSM/7.2-64570-1-NanoPacked
Dommage de devoir passer par des chemins indirects pour une mise à jour critique
Merci Pierre de nous avoir prévenu, je serai resté avec une version obsolète sans le savoir !