F-Secure warnt vor Leck in NAS von Qnap
Quelle: Qnap

F-Secure warnt vor Leck in NAS von Qnap

Die Sicherheitsspezialisten von F-Secure haben drei Sicherheitslücken in einem NAS-Gerät von Qnap entdeckt und warnen, dass sich Nutzer massiven Gefahren aussetzen.
18. Januar 2017

     

Die finnische Cybersicherheitsfirma F-Secure Labs warnt, in einem NAS von Qnap drei Sicherheitslücken entdeckt zu haben, über die ein Angreifer die Kontrolle über die Geräte erlangen können. Entdeckt wurden die Lücken bei einer Untersuchung des NAS-Modells TVS-663 (Bild) von Qnap. Diese Untersuchung hätte ergeben, dass Angreifer die Schwachstellen im Firmware-Update-Prozess des Geräts nutzen könnten, um die administrative Kontrolle darüber zu erlangen, so F-Secure. "Dieser Grad der Kontrolle würde ihnen die gleichen Rechte geben wie legitimen Administratoren. Die Angreifer könnten dadurch unbehelligt Malware installieren, auf Inhalte und Daten zugreifen, Passwörter stehlen und sogar Befehle per Remote ausführen", schreiben die Finnen weiter.


Ausgenützt wurden die Lücken bislang offenbar nicht, F-Secure hat aber einen Proof-of-Concept-Ansatz entwickelt, um zu beweisen, dass ein Angriff relativ einfach wäre. Dabei nutzt F-Secure den Umstand, dass das NAS unverschlüsselte Anfragen für Firmware-Updates sendet. Die mangelnde Verschlüsselung ermöglicht es potentiellen Angreifern, die Antwort auf diese Anfrage abzufangen und zu modifizieren. So kann ein als Firmware-Update getarnter Exploit in das Gerät eingeschleust werden. "Das getarnte Firmware-Update trickste das Gerät aus, so dass es automatisch versuchte, die vermeintliche Firmware zu installieren. Während das getarnte Update nie tatsächlich installiert wird, nutzt der Exploit einen Fehler im Prozess, um das System vollständig zu kompromittieren", so F-Secure. Harry Sintonen, Senior Security Consultant bei F-Secure und Entwickler des Proof-of-Concept: "Es ist nur erforderlich, dem Gerät zu sagen, dass eine neuere Version der Firmware bereitsteht. Da die Update-Anforderung ohne Verschlüsselung erfolgt, ist dies nicht sehr schwer. Danach kann der Angreifer im Grunde alles tun, was er will."
F-Secure schreibt, das man Qnap bereits vor knapp einem Jahr über diese Probleme informiert habe. Bislang sei nicht bekannt, ob der Hersteller die Probleme behoben habe. Ohne einen Patch der Firma gäbe es aber keine Möglichkeit, die betroffenen Geräte dauerhaft in Ordnung zu bringen, so F-Secure. Einen Workaround zumindest kann der Sicherheitsspezialist präsentieren. "Wer den Qnap TVS-663 oder andere Geräte mit derselben Firmware (QTS-Firmware 4.2 oder später) einsetzt, sollte die automatische Überprüfung der Firmware-Updates deaktivieren und die Überprüfung manuell mit gesicherten Quellen durchführen, bis das Problem behoben ist", so F-Secure. (mw)


Weitere Artikel zum Thema

Qnap lanciert App für Verwaltung mehrerer Mail-Accounts

13. Dezember 2016 - NAS-Hersteller Qnap bietet mit Qmailagent eine Lösung, um via NAS mehrere Mail-Konten zu verwalten. Nun kommt mit Qmailclient eine entsprechende iOS- und Android-App dazu.

Qnap sichert in Schweizer Cloud

8. Dezember 2015 - Für die NAS des Herstellers Qnap steht neu die App Svizzard Cloud bereit, um Daten in ein Schweizer Datacenter zu sichern. Entwickelt wurde der Dienst von Littlebit IT Services.

Schwerwiegendes Leck in Synology Foto Station

28. Mai 2015 - Synology hat ein Leck in der Anwendung Foto Station im NAS-Betriebssystem Diskstation geschlossen, das es ermöglicht, Code auf dem Webserver des NAS auszuführen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER