Alerte urgente : une faille critique pour les NAS Synology

Si vous êtes propriétaire d’un NAS Synology, une faille importante vient d’être découverte et nécessite une mise à jour d’urgence.

Il s’agit d’une faille Zero-Click qualifiée de critique qui concerne les NAS Synology et à corriger immédiatement. Cela concerne une application très populaire de gestion de photos. L’outil Photo Station ou  Synology Photos de Synology permet d’attaquer votre NAS de manière automatique.

Première chose à faire donc si vous êtes propriétaire d’un NAS Synology, avant même de lire la suite de ce billet, corriger la faille. Pour se faire allez dans l’interface de votre NAS en pianotant son IP dans un navigateur.1 Authentifiez vous avec votre login et votre mot de passe. Puis allez dans « Centre de paquet » et mettez à jour l’application « Photo Station » ou « Synology Photos ». Attention, ne vous croyez pas à l’abri si vous avez configuré votre NAS pour  qu’il fasse les mises à jour critiques de manière automatique. Pour ma part, mon NAS n’avait pas mis à jour l’application qui corrige le problème de manière automatique. Un ami avec un NAS équivalent a rencontré le même problème. Vérifiez absolument que dans votre centre de paquets votre NAS Synology liste bien un « Photo Station » ou un « Synology Photos » avec la date du 1/11/2024 !

La faille est qualifiée de Zéro-Click parce que l’infection ne nécessite aucune action de la part de l’utilisateur pour que votre NAS soit infecté. Installée par défaut sur la majorité des NAS Synology, l’attaque permet d’obtenir l’accès au données, de les copier, de les modifier, d’installer des fichiers vérolés ou corrompus et même d’infecter l’ensemble du stockage avec un ransomware pour extorquer de l’argent à son ou ses propriétaires. Des outils mafieux spécialisés sur ces NAS Synology existent déjà et peuvent être intégré très facilement dans des outils de ce type, même par un débutant dans ce type d’attaques en suivant un guide.

Installé par défaut et mis en service comme un des atout de base de ce type de NAS, Photo Station/Synology Photos est donc potentiellement disponible pour toutes les mafias de la planète. Le souci étant que si votre réseau est mal configuré et ouvert sur le net, il est tout à fait possible que des listings des machines connectées dessus aient été identifiées et associées à votre IP par des réseaux mal intentionnés. Et rien de plus simple alors que de profiter de ce long Week End du premier novembre pour venir tester votre sécurité et essayer de voler vos données. Toutes vos données. 

J’ai conseillé à maintes reprises pendant de très nombreuses années des NAS Synology à des lecteurs comme à des proches. Toutes ces machines sont par défaut corruptibles. Il faut absolument faire cette mise à jour technique qui ne demande que quelques minutes. Au pire, il est nécessaire de désactiver cette solution Photo Station/ Synology Photos si vous la découvrez active sur votre NAS mais que vous ne vous en servez pas.

Source : Wired et merci à Biou pour l’info !

Notes :

  1. IP que vous trouverez en interrogeant votre réseau ou via votre routeur.

Soutenez Minimachines avec un don mensuel : C'est la solution la plus souple et la plus intéressante pour moi. Vous pouvez participer via un abonnement mensuel en cliquant sur un lien ci dessous.
2,5€ par mois 5€ par mois 10€ par mois Le montant de votre choix

Gérez votre abonnement

26 commentaires sur ce sujet.
  • Jo
    1 novembre 2024 - 17 h 18 min

    Merci pour l’info.
    J’ai un DS216+II.
    Je n’ai pas « photo station » d’installé. Aucun paquet à ce nom n’est disponible dans mon Centre de paquets.
    Mon appli photos est « Synology Photos ».
    Y’a bien des stations dispo : download station, file station, vidéo station, audio station, mail station, note station, surveillance station et même Web station, mais aucune trace de « photo station ».

    Répondre
  • 1 novembre 2024 - 17 h 21 min

    Bonjour Pierre,
    Je suis content que tu parles de cette faille. Pour ma part, j’ai un Synology DS213+. Je viens d’aller voir la version de l’application dans mon centre de paquets, et je vois que la dernière mise à jour a été faite le 1er novembre 2022… (version 6.8.16-3506). Je ne vois aucune possibilité d’installer une autre mise à jour dans mon centre de paquets. Que ferais-tu à ma place? Désinstallerais-tu directement Photo Station? Je te remercie d’avance pour ton avis.

    Signé Nicolas, un lecteur qui te suit depuis ton test du Toshiba nb200, et que tu m’avais fait acheter! (ça date).

    Répondre
  • 1 novembre 2024 - 17 h 30 min

    @Jo: C’est la même, habillée différemment. Si tu as une mise à jour datée du 1/11 fais là.

    @Nicolas: Désinstalle ! Surtout si tu ne t’en sers pas. Sinon tu n’as pas d’autres maj plus globales de ton NAS (système complet, PHP) qui sont proposées ? Il est possible qu’il faille d’abord mettre a jour le système avant que l’application puisse être mise à jour elle même.

    Répondre
  • 1 novembre 2024 - 17 h 38 min

    À moins que Synology décide de faire une mise à jour pour les anciens systèmes, non. La dernière version du DSM est la 6.2.4-25556 qui date du 2 mai 2023. J’ai désinstallé le paquet!
    On s’entend, c’est un appareil qui n’est plus mis à jour. Je me pose la question de simplement le brancher à mon ordinateur comme gros disque dur externe et de laisser tomber le côté « en ligne ».

    Répondre
  • 1 novembre 2024 - 17 h 48 min

    @Nicolas: Ca a l’air un peu extrême mais cela finit par faire sens.

    Répondre
  • 1 novembre 2024 - 18 h 05 min
  • Jle
    1 novembre 2024 - 18 h 19 min

    @Nicolas:
    Si tu le laisses branché à ta box, et que tu désactives la redirection de ports de ladite box, ça sera bon.
    Mais avoir un NAS accessible en ligne, cela n’a jamais été une bonne idée, même lorsque des mises à jour de sécurité sont encore disponibles. Déjà parce que ce genre de NAS propose beaucoup (trop) de fonctionnalités, ce qui augmente la surface d’attaque. Ensuite, parce que tu ne vas pas toujours appliquer les correctifs à temps. Enfin, trop d’utilisateurs n’ont ni les compétences ni le temps pour configurer correctement leur NAS, et surtout le surveiller.
    Vraiment, un NAS en ligne c’est la pire idée du monde.

    Répondre
  • 1 novembre 2024 - 19 h 12 min

    Merci vraiment beaucoup pour l’info! Je me suis empressé de faire la MAJ!!!
    Je vais maintenant de ce pas verifier si une IP qui ne m’appartient pas s’est connectée dessus.

    Question naive, on a moyen de savoir les addresses mac des appareils qui sont connecté sur un nas syno par le passé ou pas? au cas ou…

    Répondre
  • 1 novembre 2024 - 20 h 33 min

    Bonsoir,
    Merci Pierre pour cette information importante.
    De mon coté, mon NAS DS1517 me dit que la version de DSM est la 7.1.1-42962 Update 6 et est à jour et que le paquet Synology Photo en version 1.3.3-0330 est la dernière et qu’il n’existe pas de mise à jour.
    A priori pas moyen d’upgrader en DSM 7.2 et donc impossible d’upgrader le paquet Synology photo en version supérieure.

    Y-a t-il un risque ? Y a t-il un moyen de faire une mise à jour ?
    En attendant, je n’ai pas désinstaller le paquet mais j’ai stoppé son exécution.
    Merci à tous pour vos conseils.

    Répondre
  • 1 novembre 2024 - 21 h 02 min

    @LeonidK:

    Synology Photos est en 2024-10-30
    et DSM en 7.2.1-69057 update 5

    Cela semble bon non ? Car je n’ai pas d’autres MAJ de disponible bis sur l’app ni sur DSM

    MERCI POUR VOS CONFIRMATIONS

    Répondre
  • 1 novembre 2024 - 22 h 41 min

    Fake news.

    Répondre
  • 2 novembre 2024 - 4 h 53 min

    En fait la faille est mal documentée.. et les modèles de NAS sont nombreux chez Synology …
    Si vous ne souhaitez pas que votre NAS ‘aille dehors’ tout simplement ne lui donnez pas de passerelle (votre routeur)

    Répondre
  • 2 novembre 2024 - 7 h 02 min

    Le mien s’est senti revivre quand je l’ai migré vers un vrai linux bien ficelé et non pas le système bricolé d’origine : le formidable OpenMediaVault.

    Répondre
  • 2 novembre 2024 - 8 h 03 min

    @FlyDutch:

    Synology Photos 1.7 for DSM 7.2 Critical Upgrade to 1.7.0-0795 or above.
    Synology Photos 1.6 for DSM 7.2 Critical Upgrade to 1.6.2-0720 or above.

    Si tu as ces versions c’est bon normalement.

    Répondre
  • 2 novembre 2024 - 9 h 06 min

    Si je regarde mon DS214Play, la version DSM 1.7.0-0795 update 6 est la dernière en date
    et mon paquet Synology Photo 1.3.3-0330 dernier en date de mise à jour..mais elle date de (2022-12-07)

    et pas d’autres mise a jour possible, je regarde souvent les mises à jour des paquets, et si je me souviens, photo station à été ‘remplacé’ par Synology Photo, dont je me sert pour la sauvegarde directe des photos prises par mon smartphone sur mon nas (sans passer par la case google)

    l’avantage aussi c’est que j’ai numérisé tous les albums photos papier depuis 40 ans, et mes enfants y ont accès facilement depuis leur smartphone

    Répondre
  • 2 novembre 2024 - 14 h 45 min
  • 2 novembre 2024 - 21 h 40 min

    Un article digne de /r/dinausore

    Répondre
  • 2 novembre 2024 - 22 h 20 min

    Merci beaucoup Pierre!

    J’ai un DS216+II et je decouvre que la dernière version disponible de DSM est v7.1.1-42962 update 6 et qui date de juin23!
    Ma version de Synology Photo est la 1.3.30-0330 et n’est donc pas secure!

    Pour passer à DMS v7.2 et donc à la version safe de synology photo(v1.6 ou plus) il faut passer par une maj manuelle de DMS en téléchargeant la dernière version de DMS via leur centre de téléchargement.
    Veillez à désinstaller Video Station sinon la maj ne se fait pas!

    Cette Maj DMS force la maj synology photo vers la version la plus recente.

    Source:
    https://www.synology.com/fr-fr/releaseNote/DSM

    Répondre
  • 3 novembre 2024 - 9 h 21 min

    Donc c’est la mouise….mon Ds214Play n’est pas compatible avec la version 7.2…donc pas possible de mettre a jour SynoPhotos

    Répondre
  • 3 novembre 2024 - 11 h 02 min

    @Jle:

    entierement d accord! à moinss de passer par wireguard ou tailscale

    Répondre
  • 3 novembre 2024 - 15 h 00 min

    Merci Pierre pour cet avertissement

    En lisant les commentaires je me demande si nous devons continuer à encourager l’achat de syno autour de nous
    Qu’en est-il des mises à jour ? Des paramètres de sécurité ? Quels sont les utilisateurs capables de creer une alarme pour les avertir qu’un des disques du raid est hs? … que faire lorsque les dsl est obsolète ?

    Ne devrions nous pas pousser vers des n100 avec openmediavault et des paramètres simples et gerables par Mr toutleminde?

    Répondre
  • Jle
    3 novembre 2024 - 15 h 27 min

    @Etienne:
    Un NAS Syno est par défaut configuré pour bipper bien fort en cas de soucis. Pas d’inquiétude à ce sujet.

    Les mises à jour, c’est le souci de tout matériel.
    Sur ce point, il y a mieux que Syno, comme par exemple Qnap. Son OS est moins tape à l’oeil, mais son support logiciel est meilleur et plus long.
    Mais chez lui aussi il y a une date de péremption.
    A moins de savoir ce que tu fais, et d’y investir du temps, tu peux utiliser un OS alternatif, mais as-tu seulement le temps, les compétences et l’envie de passer du temps dessus ?

    Répondre
  • 3 novembre 2024 - 21 h 21 min

    @Jle
    Cela ne me parait plus viable de recommander a un béotien un syno ou équivalent qui va devenir obsolète sans crier gare
    Je préfère passer du temps avec lui pour lui mettre en place qqchose de plus durable

    Répondre
  • 5 novembre 2024 - 13 h 19 min

    @CerfVolant :
    pareil ici, un DS214Play mais avec un système au niveau 7.1.1-42962 Update 6 mais Synology Photos en 1.3.30-0330.

    En attendant, j’ai stoppé l’application.

    Répondre
  • 5 novembre 2024 - 23 h 26 min

    @AceT:

    Merci j’au pu mettre à jour mon ds218j ;-). Utilisant Synology Photos, je suis soulagé pour la MAJ.

    Répondre
  • 16 novembre 2024 - 18 h 54 min

    Pour mon DS418play, en 7.1, pas possible de passer directement à la dernière version, j’ai du passer par la 7.2.0 : https://archive.synology.com/download/Os/DSM/7.2-64570-1-NanoPacked

    Dommage de devoir passer par des chemins indirects pour une mise à jour critique

    Merci Pierre de nous avoir prévenu, je serai resté avec une version obsolète sans le savoir !

    Répondre
  • LAISSER UN COMMENTAIRE

    *

    *


    TopAchat Sponsor Officiel de Minimachines Geekom Sponsor Officiel de Minimachines GeekBuying Sponsor Officiel de Minimachines Banggood Sponsor Officiel de Minimachines