English version down below 👇
Den Haag – Onderzoeker Mischa van Geelen van Anovum BV heeft niet-gedocumenteerde herstelmogelijkheden ontdekt in Synology’s Disk Station Manager (DSM) die zowel de aanpak van dataterugwinning als de beveiligingsstrategie van organisaties kunnen beïnvloeden.
De ontdekking komt voort uit meerdere incident response-onderzoeken waarbij Synology NAS-systemen, door ransomware-aanvallers teruggezet naar fabrieksinstellingen, desondanks nog volledige datasets bevatten. Dit was aanleiding voor een diepgaand technisch onderzoek naar de herstelmechanismen van DSM.
Het onderzoek bracht een “Recovery OS” aan het licht, ingebouwd in de systeem-firmware. Deze omgeving boot onafhankelijk van het geïnstalleerde besturingssysteem en presenteert zich als een reguliere DSM-installatie met een webinterface op poort 5000. Binnen deze modus zijn verschillende CGI-scripts zonder authenticatie uitvoerbaar, waaronder een script dat Telnet-toegang met rootrechten activeert.
Ook bevestigt het onderzoek dat het terugzetten naar fabrieksinstellingen de opgeslagen gegevens niet verwijdert. Met de juiste technische kennis kan een systeem naar de oorspronkelijke staat worden teruggebracht, waardoor data opnieuw toegankelijk wordt.
Volgens Anovum-oprichter en onderzoeker Mischa Rick van Geelen hebben deze functies een tweesnijdend karakter:
“Ze zijn van grote waarde bij forensische onderzoeken en data herstel, maar brengen ook beveiligingsrisico’s met zich mee waar organisaties zich bewust van moeten zijn.”
Ter ondersteuning van security-professionals heeft Anovum SynoScope ontwikkeld, een Python-tool voor het analyseren en in sommige gevallen herstellen van naar fabrieksinstellingen teruggezette DSM-systemen via de niet-gedocumenteerde herstelmodus.
SynoScope is beschikbaar via: https://github.com/AnovumBV/synoscope
English version:
The Hague – Researcher Mischa van Geelen of Anovum BV has discovered undocumented recovery capabilities in Synology’s Disk Station Manager (DSM) that could impact both data recovery approaches and the security strategies of organizations.
The discovery stems from multiple incident response investigations in which Synology NAS systems, factory-reset by ransomware attackers, were nevertheless found to still contain complete datasets. This prompted an in-depth technical examination of DSM’s recovery mechanisms.
The investigation revealed a “Recovery OS” embedded in the system firmware. This environment boots independently of the installed operating system and presents itself as a regular DSM installation with a web interface on port 5000. Within this mode, several CGI scripts can be executed without authentication, including one that enables Telnet access with root privileges.
The research also confirms that performing a factory reset does not erase stored data. With the right technical expertise, a system can be restored to its original state, making the data accessible again.
According to Anovum founder and researcher Mischa Rick van Geelen, these features have a dual-edged nature:
“They are highly valuable for forensic investigations and data recovery, but they also pose security risks that organizations should be aware of.”
To support security professionals, Anovum has developed SynoScope, a Python tool for analyzing and, in some cases, recovering factory-reset DSM systems via the undocumented recovery mode.
SynoScope is available at: https://github.com/AnovumBV/synoscope
