image

Honderdduizenden QNAP NAS-systemen door lek op afstand over te nemen

dinsdag 19 mei 2020, 17:19 door Redactie, 15 reacties

Honderdduizenden NAS-systemen van fabrikant QNAP zijn door verschillende kritieke kwetsbaarheden op afstand over te nemen en een aanvaller hoeft niet over inloggegevens te beschikken. Eind vorig jaar kwam QNAP al met beveiligingsupdates en onderzoeker Henry Huang die de beveiligingslekken ontdekte heeft nu de details openbaar gemaakt.

Via de kwetsbaarheden kan een aanvaller zonder inloggegevens willekeurige code met rootrechten op de NAS-systemen uitvoeren. Dat houdt in dat een aanvaller volledige controle heeft en alle bestanden op het systeem kan benaderen. De beveiligingslekken bevinden zich in QNAP Photo Station en CGI-programma's die op de NAS draaien. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die allemaal een 9,8 beoordeeld.

Het gaat in totaal om vier beveiligingslekken. In zijn blogposting beschrijft Huang echter drie kwetsbaarheden, omdat die voldoende zijn om zonder inloggegevens op afstand code met rootrechten uit te voeren. Via de eerste kwetsbaarheid kan een aanvaller de authenticatie omzeilen en zich als appuser authenticeren. Het tweede lek maakt het mogelijk om willekeurige php-code in de sessie te injecteren en via de derde kwetsbaarheid is het mogelijk om sessiecontent naar een willekeurige locatie op de server te schrijven en zo een webshell te starten.

De enige voorwaarde voor het uitvoeren van de aanval is dat het NAS-systeem via internet toegankelijk is en QNAP Photo Station staat ingeschakeld. Photo Station wordt door QNAP omschreven als een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen.

Eind 2019 voerde Huang een scan uit op internet en ontdekte 564.000 QNAP-systemen die via internet toegankelijk waren. Uit een steekproef bleek dat tachtig procent Photo Station had ingeschakeld, wat neerkomt op zo'n 450.000 kwetsbare NAS-systemen. Eigenaren van een QNAP NAS krijgen het advies om de laatste firmware-update te installeren.

Image

Reacties (15)
19-05-2020, 17:31 door Briolet
Wel weer een heel suggestieve titel. Dit aantal is eind vorig jaar geteld en eind vorig jaar is ook al een beveiligingsupdate verschenen.

Geef aan hoeveel het er nu zijn, of maak in de titel duidelijk dat het over oud nieuw gaat.
19-05-2020, 18:46 door Anoniem
Ik zou mijn bedrijf nooit QNAP noemen.

Quality NAP?...

Quality NEP???!!!
19-05-2020, 20:28 door Anoniem
Door Anoniem: Ik zou mijn bedrijf nooit QNAP noemen.

Quality NAP?...

Quality NEP???!!!
Daar liggen ze in Taiwan echt wakker van!
20-05-2020, 07:37 door Bitje-scheef
Door Briolet: Wel weer een heel suggestieve titel. Dit aantal is eind vorig jaar geteld en eind vorig jaar is ook al een beveiligingsupdate verschenen.

Geef aan hoeveel het er nu zijn, of maak in de titel duidelijk dat het over oud nieuw gaat.

Wees blij dat het wordt gemeld na een beschikbare update. Voor je het weet zit er zo'n thuiszittende scholier op je QNAP.
Kan nog vervelend uitpakken.
20-05-2020, 09:33 door Anoniem
Vulnerability alleen wanneer de NAS direct aan internet hangt... Een zichzelf respecterende nerd zou hier altijd nog een firewall tussen hangen met een VPN tunnel. NAS rechtstreeks aan internet hangen doen we toch al niet meer sinds alberto stegeman en de KLM een issue hadden met elkaar... Dat was nog voor 2010 ofzo.
20-05-2020, 10:11 door Briolet
Door Anoniem: …NAS rechtstreeks aan internet hangen doen we toch al niet meer sinds …

Het gaat hier om een on-line fotoalbum. Het hele idee van dit programma is om foto's met bekenden te delen zonder ze bij een externe clouddienst te hoeven uploaden. Dan moet hij aan het internet hangen.
20-05-2020, 10:23 door Anoniem
Door Briolet:
Door Anoniem: …NAS rechtstreeks aan internet hangen doen we toch al niet meer sinds …

Het gaat hier om een on-line fotoalbum. Het hele idee van dit programma is om foto's met bekenden te delen zonder ze bij een externe clouddienst te hoeven uploaden. Dan moet hij aan het internet hangen.

Zo zie je maar hoe onverstandig dat is. Synology heeft ook allemaal van dat soort apps maar ik heb ze er op het werk
op de NAS allemaal afgeknikkerd, en het ding hangt niet eens aan internet. Mij te onduidelijk wat die apps allemaal doen.

Externe clouddiensten hebben dit vast beter voor elkaar, en als ze gehacked worden is het niet jouw probleem.
20-05-2020, 11:24 door Bitje-scheef
Door Anoniem: Vulnerability alleen wanneer de NAS direct aan internet hangt... Een zichzelf respecterende nerd zou hier altijd nog een firewall tussen hangen met een VPN tunnel. NAS rechtstreeks aan internet hangen doen we toch al niet meer sinds alberto stegeman en de KLM een issue hadden met elkaar... Dat was nog voor 2010 ofzo.

Geef ze de kost zou ik zeggen...
20-05-2020, 12:46 door Anoniem
Door Bitje-scheef:
Door Anoniem: Vulnerability alleen wanneer de NAS direct aan internet hangt... Een zichzelf respecterende nerd zou hier altijd nog een firewall tussen hangen met een VPN tunnel. NAS rechtstreeks aan internet hangen doen we toch al niet meer sinds alberto stegeman en de KLM een issue hadden met elkaar... Dat was nog voor 2010 ofzo.

Geef ze de kost zou ik zeggen...
Tegenwoordig is iedere thuisgebruiker ge-NAT toch?
20-05-2020, 15:22 door Anoniem
Door Anoniem:
Door Bitje-scheef:
Door Anoniem: Vulnerability alleen wanneer de NAS direct aan internet hangt... Een zichzelf respecterende nerd zou hier altijd nog een firewall tussen hangen met een VPN tunnel. NAS rechtstreeks aan internet hangen doen we toch al niet meer sinds alberto stegeman en de KLM een issue hadden met elkaar... Dat was nog voor 2010 ofzo.

Geef ze de kost zou ik zeggen...
Tegenwoordig is iedere thuisgebruiker ge-NAT toch?
Ja maar zo'n NAS prikt een poort forward in de router via UPnP of maakt zelfs een connectie naar een of andere cloud
service die de connecties forward over een permanent open staande uitgaande verbinding. (zeg maar een soort VPN)

Normaal is NAT een redelijke beveiliging tegen inkomende dreigingen, maar dat werkt niet als de toepassingen deze
beveiliging saboteren.
20-05-2020, 18:45 door Anoniem
Door Anoniem:
Door Briolet:
Door Anoniem: …NAS rechtstreeks aan internet hangen doen we toch al niet meer sinds …

Het gaat hier om een on-line fotoalbum. Het hele idee van dit programma is om foto's met bekenden te delen zonder ze bij een externe clouddienst te hoeven uploaden. Dan moet hij aan het internet hangen.

Zo zie je maar hoe onverstandig dat is. Synology heeft ook allemaal van dat soort apps maar ik heb ze er op het werk
op de NAS allemaal afgeknikkerd, en het ding hangt niet eens aan internet. Mij te onduidelijk wat die apps allemaal doen.

Externe clouddiensten hebben dit vast beter voor elkaar, en als ze gehacked worden is het niet jouw probleem.
Als een clouddienst gehackt wordt is het ook jouw probleem omdat in de kleine lettertjes staat dat een clouddienst niet verantwoordelijk is voor de data. Het gebeurd regelmatig dat accounts bij clouddiensten gehackt worden en dat de data van ransomware wordt voorzien. Zonder een eigen gemaakte back-up ben je dan alles kwijt.
21-05-2020, 16:55 door Anoniem
Een beetje gebruiker werkt de NAS regelmatig bij. Alleen de nalatigigen zijn het haasje. Waarschijnlijk gebruiken die mensen ook nog windows 7 en Internet Explorer.
23-05-2020, 22:14 door Anoniem
Door Anoniem:
Door Briolet:
Door Anoniem: …NAS rechtstreeks aan internet hangen doen we toch al niet meer sinds …

Het gaat hier om een on-line fotoalbum. Het hele idee van dit programma is om foto's met bekenden te delen zonder ze bij een externe clouddienst te hoeven uploaden. Dan moet hij aan het internet hangen.

Zo zie je maar hoe onverstandig dat is. Synology heeft ook allemaal van dat soort apps maar ik heb ze er op het werk
op de NAS allemaal afgeknikkerd, en het ding hangt niet eens aan internet. Mij te onduidelijk wat die apps allemaal doen.

Externe clouddiensten hebben dit vast beter voor elkaar, en als ze gehacked worden is het niet jouw probleem.
Huis en tuin nasjes aangesloten op het werk? Zielig en onprofessioneel!
25-05-2020, 20:16 door Anoniem
Door Anoniem: Een beetje gebruiker werkt de NAS regelmatig bij. Alleen de nalatigigen zijn het haasje. Waarschijnlijk gebruiken die mensen ook nog windows 7 en Internet Explorer.
Zelfs nu moet er weer een sneer naar Windows gemaakt worden, terwijl het hele artikel over iets anders gaat.
15-08-2020, 12:14 door Anoniem
Een vriend van mij is gehackt.......al een enige tijd geleden alle bestanden zijn verzegeld. Er is ook al aan gifte gedaan.....Is er inmiddels misschien ook al een manier gevonden om die verzegeling er af te krijgen. Ze zijn alle foto kwijt van hun kinderen....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.