Honderdduizenden QNAP NAS-systemen door lek op afstand over te nemen
Honderdduizenden NAS-systemen van fabrikant QNAP zijn door verschillende kritieke kwetsbaarheden op afstand over te nemen en een aanvaller hoeft niet over inloggegevens te beschikken. Eind vorig jaar kwam QNAP al met beveiligingsupdates en onderzoeker Henry Huang die de beveiligingslekken ontdekte heeft nu de details openbaar gemaakt.
Via de kwetsbaarheden kan een aanvaller zonder inloggegevens willekeurige code met rootrechten op de NAS-systemen uitvoeren. Dat houdt in dat een aanvaller volledige controle heeft en alle bestanden op het systeem kan benaderen. De beveiligingslekken bevinden zich in QNAP Photo Station en CGI-programma's die op de NAS draaien. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die allemaal een 9,8 beoordeeld.
Het gaat in totaal om vier beveiligingslekken. In zijn blogposting beschrijft Huang echter drie kwetsbaarheden, omdat die voldoende zijn om zonder inloggegevens op afstand code met rootrechten uit te voeren. Via de eerste kwetsbaarheid kan een aanvaller de authenticatie omzeilen en zich als appuser authenticeren. Het tweede lek maakt het mogelijk om willekeurige php-code in de sessie te injecteren en via de derde kwetsbaarheid is het mogelijk om sessiecontent naar een willekeurige locatie op de server te schrijven en zo een webshell te starten.
De enige voorwaarde voor het uitvoeren van de aanval is dat het NAS-systeem via internet toegankelijk is en QNAP Photo Station staat ingeschakeld. Photo Station wordt door QNAP omschreven als een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen.
Eind 2019 voerde Huang een scan uit op internet en ontdekte 564.000 QNAP-systemen die via internet toegankelijk waren. Uit een steekproef bleek dat tachtig procent Photo Station had ingeschakeld, wat neerkomt op zo'n 450.000 kwetsbare NAS-systemen. Eigenaren van een QNAP NAS krijgen het advies om de laatste firmware-update te installeren.
Geef aan hoeveel het er nu zijn, of maak in de titel duidelijk dat het over oud nieuw gaat.
Quality NAP?...
Quality NEP???!!!
Quality NAP?...
Quality NEP???!!!
Geef aan hoeveel het er nu zijn, of maak in de titel duidelijk dat het over oud nieuw gaat.
Wees blij dat het wordt gemeld na een beschikbare update. Voor je het weet zit er zo'n thuiszittende scholier op je QNAP.
Kan nog vervelend uitpakken.
Het gaat hier om een on-line fotoalbum. Het hele idee van dit programma is om foto's met bekenden te delen zonder ze bij een externe clouddienst te hoeven uploaden. Dan moet hij aan het internet hangen.
Het gaat hier om een on-line fotoalbum. Het hele idee van dit programma is om foto's met bekenden te delen zonder ze bij een externe clouddienst te hoeven uploaden. Dan moet hij aan het internet hangen.
Zo zie je maar hoe onverstandig dat is. Synology heeft ook allemaal van dat soort apps maar ik heb ze er op het werk
op de NAS allemaal afgeknikkerd, en het ding hangt niet eens aan internet. Mij te onduidelijk wat die apps allemaal doen.
Externe clouddiensten hebben dit vast beter voor elkaar, en als ze gehacked worden is het niet jouw probleem.
Geef ze de kost zou ik zeggen...
Geef ze de kost zou ik zeggen...
Geef ze de kost zou ik zeggen...
service die de connecties forward over een permanent open staande uitgaande verbinding. (zeg maar een soort VPN)
Normaal is NAT een redelijke beveiliging tegen inkomende dreigingen, maar dat werkt niet als de toepassingen deze
beveiliging saboteren.
Het gaat hier om een on-line fotoalbum. Het hele idee van dit programma is om foto's met bekenden te delen zonder ze bij een externe clouddienst te hoeven uploaden. Dan moet hij aan het internet hangen.
Zo zie je maar hoe onverstandig dat is. Synology heeft ook allemaal van dat soort apps maar ik heb ze er op het werk
op de NAS allemaal afgeknikkerd, en het ding hangt niet eens aan internet. Mij te onduidelijk wat die apps allemaal doen.
Externe clouddiensten hebben dit vast beter voor elkaar, en als ze gehacked worden is het niet jouw probleem.
Het gaat hier om een on-line fotoalbum. Het hele idee van dit programma is om foto's met bekenden te delen zonder ze bij een externe clouddienst te hoeven uploaden. Dan moet hij aan het internet hangen.
Zo zie je maar hoe onverstandig dat is. Synology heeft ook allemaal van dat soort apps maar ik heb ze er op het werk
op de NAS allemaal afgeknikkerd, en het ding hangt niet eens aan internet. Mij te onduidelijk wat die apps allemaal doen.
Externe clouddiensten hebben dit vast beter voor elkaar, en als ze gehacked worden is het niet jouw probleem.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
