image

QNAP NAS-systemen via drie jaar oud lek voorzien van backdoor

dinsdag 1 september 2020, 14:34 door Redactie, 9 reacties

Aanvallers maken gebruik van een drie jaar oude kwetsbaarheid om NAS-systemen van fabrikant QNAP van een backdoor te voorzien, stelt securitybedrijf Qihoo 360 in een analyse. QNAP-systemen zijn vaker het doelwit van aanvallen, maar volgens onderzoekers van het securitybedrijf was het nog niet bekend dat ervan het betreffende beveiligingslek gebruik werd gemaakt.

Via de kwetsbaarheid kan een ongeautenticeerde aanvaller op afstand commando's op het systeem uitvoeren. Het beveiligingslek is aanwezig in een CGI-programma gebruikt voor het uitloggen van de gebruiker. Dit programma blijkt gebruikersinvoer niet goed te filteren en roept de systeemfunctie aan voor het uitvoeren van een opgegeven string, waardoor command injection mogelijk is.

In het geval van een succesvolle aanval installeren de aanvallers een reverse shell, waarmee ze toegang tot het systeem houden. Verdere andere activiteiten, zoals bijvoorbeeld het versleutelen van bestanden voor losgeld of het gebruik van het NAS-systeem voor ddos-aanvallen zijn nog niet waargenomen.

Qihoo 360 informeerde QNAP waarop de NAS-fabrikant liet weten dat de onderliggende kwetsbaarheid al in 2017 via een update voor het QTS-besturingssysteem van de NAS-systemen was verholpen. Gebruikers wordt aangeraden om nieuwe firmware-updates tijdig te installeren en op ongewone processen en netwerkverbindingen te controleren.

Reacties (9)
01-09-2020, 15:33 door _R0N_
Hangen mensen echt hun NAS direct aan het internet?
01-09-2020, 16:39 door Anoniem
Door _R0N_: Hangen mensen echt hun NAS direct aan het internet?

Bedrijven wellicht minder snel, maar de gemiddelde particulier heeft zo'n ding om makkelijk en overal bij de fotos en muziek te komen.
02-09-2020, 09:41 door Anoniem
Door _R0N_: Hangen mensen echt hun NAS direct aan het internet?

Jouw compjoeter is toch ook verbonden met het internet?
02-09-2020, 09:52 door Anoniem
Door Anoniem:
Door _R0N_: Hangen mensen echt hun NAS direct aan het internet?

Bedrijven wellicht minder snel, maar de gemiddelde particulier heeft zo'n ding om makkelijk en overal bij de fotos en muziek te komen.

Precies, voornamelijk de gemiddelde consument heeft gewoon "geen idee".
Wanneer ze een NAS kopen zien ze het als een "plug and play" apparaat, werkt het, dan raken ze het niet meer aan.
Zolang dit soort systemen niet automatisch updaten, zal een gemiddelde consument mogelijk kwetsbaar blijven.
Alleen consumenten die zich erin verdiepen snappen dat ze moeten updaten.

Ik heb wel eens mensen gesproken die een NAS kopen omdat ze bang zijn data verlies te krijgen op de PC/Laptop.
Wat doen ze kopen ze een NAS, die voorzien is van 2 disken. Kan je kiezen tussen RAID 0 en 1, waarbij natuurlijk RAID 0 een veel grotere opslag mogelijkheid bied. Ze kiezen dan dus door onwetendheid voor RAID 0.
Verplaatsen alle data naar de NAS, dus staat ook niet meer op de laptop/PC, want je kan het via het netwerk benaderen.
Nu denken ze veilig te zijn wanneer de PC/Laptop kapot gaat...... (maar vergeten dus dat een NAS ook kapot kan gaan).
Denk je dat dit soort consumenten dan firmware upgrades gaan uitvoeren, regelmatig?
02-09-2020, 10:55 door _R0N_
Door Anoniem:
Door _R0N_: Hangen mensen echt hun NAS direct aan het internet?

Jouw compjoeter is toch ook verbonden met het internet?

Niet direct, achter NAT en dus niet direct benaderbaar op publiek IP en inkomend geen portforwards.
02-09-2020, 11:52 door Anoniem
Door _R0N_:
Door Anoniem:
Door _R0N_: Hangen mensen echt hun NAS direct aan het internet?

Jouw compjoeter is toch ook verbonden met het internet?

Niet direct, achter NAT en dus niet direct benaderbaar op publiek IP en inkomend geen portforwards.
Daar hangt de NAS natuurlijk ook!
02-09-2020, 14:59 door Anoniem
"Gebruikers wordt aangeraden om nieuwe firmware-updates tijdig te installeren en op ongewone processen en netwerkverbindingen te controleren."

Hoe worden gebruikers bereikt deze upgrades te installeren? (Waarom geen automatische updates?)
Hoe kan een gemiddelde consument "ongewone processen en netwerkverbindingen controleren", is daar een handleiding bij?
Alsof een gemiddelde consument constant zijn NAS in de gaten houdt, die zet het apparaat in een hoekje naast de router en zet deze aan, kijkt er niet meer naar om.

Even serieus.... Eigenlijk weet je al dat dit niet werkt doordat mensen al updates missen sinds 2017.
02-09-2020, 15:48 door Anoniem
Door Anoniem:
Hoe worden gebruikers bereikt deze upgrades te installeren? (Waarom geen automatische updates?)
Wel eens hier gelezen, dat de hel losbreekt, als een apparaat zelfstandig update? Iedere reaguurder gaat hier over de rooie, als dat gebeurt met redenen van complottheorieën tot en met aantasting van hun privacy!
05-09-2020, 23:45 door Anoniem
Door _R0N_: Hangen mensen echt hun NAS direct aan het internet?
Ja want: upnp en de synology nas kan via een cloud website vaak direct bereikbaar zijn. (ze hebben zoon constructie waarbij je direct bij je nas can met een cloud portal)

Maar mainly draait het om protocollen als Upnp consumenter routers uit 2003-2016 die gewoon blind poorten naar binnen en naar buiten openzetten voor je.

Maar ik vind jet niet zo spannend want het gaat vooral om "niet updaten". al zou ik wel willen dat automatisch updaten per default aanstaat op unix like devices. (windows kan non MS apps nieteens updaten).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.