F-Secure warnt vor Leck in NAS von Qnap

F-Secure warnt vor Leck in NAS von Qnap

F-Secure warnt vor Leck in NAS von Qnap

(Quelle: Qnap)
18. Januar 2017 -  Die Sicherheitsspezialisten von F-Secure haben drei Sicherheitslücken in einem NAS-Gerät von Qnap entdeckt und warnen, dass sich Nutzer massiven Gefahren aussetzen.
Die finnische Cybersicherheitsfirma F-Secure Labs warnt, in einem NAS von Qnap drei Sicherheitslücken entdeckt zu haben, über die ein Angreifer die Kontrolle über die Geräte erlangen können. Entdeckt wurden die Lücken bei einer Untersuchung des NAS-Modells TVS-663 (Bild) von Qnap. Diese Untersuchung hätte ergeben, dass Angreifer die Schwachstellen im Firmware-Update-Prozess des Geräts nutzen könnten, um die administrative Kontrolle darüber zu erlangen, so F-Secure. "Dieser Grad der Kontrolle würde ihnen die gleichen Rechte geben wie legitimen Administratoren. Die Angreifer könnten dadurch unbehelligt Malware installieren, auf Inhalte und Daten zugreifen, Passwörter stehlen und sogar Befehle per Remote ausführen", schreiben die Finnen weiter.

Ausgenützt wurden die Lücken bislang offenbar nicht, F-Secure hat aber einen Proof-of-Concept-Ansatz entwickelt, um zu beweisen, dass ein Angriff relativ einfach wäre. Dabei nutzt F-Secure den Umstand, dass das NAS unverschlüsselte Anfragen für Firmware-Updates sendet. Die mangelnde Verschlüsselung ermöglicht es potentiellen Angreifern, die Antwort auf diese Anfrage abzufangen und zu modifizieren. So kann ein als Firmware-Update getarnter Exploit in das Gerät eingeschleust werden. "Das getarnte Firmware-Update trickste das Gerät aus, so dass es automatisch versuchte, die vermeintliche Firmware zu installieren. Während das getarnte Update nie tatsächlich installiert wird, nutzt der Exploit einen Fehler im Prozess, um das System vollständig zu kompromittieren", so F-Secure. Harry Sintonen, Senior Security Consultant bei F-Secure und Entwickler des Proof-of-Concept: "Es ist nur erforderlich, dem Gerät zu sagen, dass eine neuere Version der Firmware bereitsteht. Da die Update-Anforderung ohne Verschlüsselung erfolgt, ist dies nicht sehr schwer. Danach kann der Angreifer im Grunde alles tun, was er will."
F-Secure schreibt, das man Qnap bereits vor knapp einem Jahr über diese Probleme informiert habe. Bislang sei nicht bekannt, ob der Hersteller die Probleme behoben habe. Ohne einen Patch der Firma gäbe es aber keine Möglichkeit, die betroffenen Geräte dauerhaft in Ordnung zu bringen, so F-Secure. Einen Workaround zumindest kann der Sicherheitsspezialist präsentieren. "Wer den Qnap TVS-663 oder andere Geräte mit derselben Firmware (QTS-Firmware 4.2 oder später) einsetzt, sollte die automatische Überprüfung der Firmware-Updates deaktivieren und die Überprüfung manuell mit gesicherten Quellen durchführen, bis das Problem behoben ist", so F-Secure. (mw)
Weitere Artikel zum Thema
 • Qnap lanciert App für Verwaltung mehrerer Mail-Accounts
 • Qnap sichert in Schweizer Cloud
 • Schwerwiegendes Leck in Synology Foto Station

Vorherige News
 
Nächste News

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
NEUESTE
EMPFEHLUNGEN
MEISTGELESENE
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2017/04
Schwerpunkt: IT-Versicherungen
• Versichert gegen die Unsicherheit
• Cyber-Versicherung als zusätzliche IT-Sicherheitsmassnahme
• Marktübersicht: Versicherungsschutz im digitalen Arbeitsalltag
• Versicherungslösungen gegen die Folgen von Cybercrime
• Praxisbeispiele: Hacker lieben schlechte Vorbereitung
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER