Ernstige lekken in QNAP-nas al jaar ongepatcht
Ernstige beveiligingslekken in een nas-systeem van fabrikant QNAP waardoor aanvallers het systeem kunnen overnemen wachten al een jaar op een update. Dat meldt het Finse anti-virusbedrijf F-Secure. Een onderzoeker van de virusbestrijder ontdekte vorig jaar in de QNAP TVS-663 drie kwetsbaarheden.
Het eerste probleem is aanwezig in het updatemechanisme van het nas-systeem. Er wordt bij de controle op nieuwe updates geen encryptie toegepast. De vraag van het apparaat om beschikbare updates gaat via het onversleutelde http. Een aanvaller die zich tussen de nas en het internet bevindt kan zo het updateresultaat aanpassen en bijvoorbeeld andere firmware of downloadlocaties doorgeven.
Het tweede probleem betreft cross-site scripting in het updatevenster waarin de beschikbaarheid van nieuwe updates wordt aangekondigd. Een aanvaller kan op deze manier acties in de nas-webinterface uitvoeren. Is de gebruiker als admin ingelogd, dan kan de aanvaller volledige admintoegang krijgen. Als laatste blijkt dat de controle op nieuwe firmware-updates kwetsbaar is voor command injection. Een aanvaller kan zo willekeurige commando's met rootrechten uitvoeren en toegang tot alle gegevens op de nas krijgen.
QNAP werd op 1 februari vorig jaar ingelicht. Na 180 dagen vroeg de fabrikant om 90 dagen extra voor de ontwikkeling van een update. F-Secure ging hiermee akkoord, maar nu een jaar verder is er nog altijd geen update beschikbaar. De QNAP TVS-663 is inmiddels niet meer in winkels verkrijgbaar, maar werd ook in Nederland verkocht.
Qnap hierover gemailed, maar het interesseerde ze vrij weinig. Pas 3 jaar later werd SSH geupdate...
"Sound serious? Well, the good news is that attackers would need to position themselves to intercept the update process before they can manipulate it."
en
“The extra step is enough to discourage most opportunistic or low-skilled attackers,” said Janne Kauhanen, a cyber security expert with F-Secure.
QNAP maakt prima NASsen en QTS is een prima OS/distro, ook vwb security. In de CVE database staan 15 entries sinds 2009... dat is minder 1 per jaar. Erg goed track-record dus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
