image

QNAP adviseert uitschakelen SMBv1 op NAS-systemen wegens Samba-lek

woensdag 9 februari 2022, 18:26 door Redactie, 24 reacties

QNAP heeft NAS-gebruikers vandaag opgeroepen om het SMBv1-protocol op NAS-systemen uit te schakelen en gasten geen toegang tot gedeelde mappen te geven. Aanleiding is een kritieke kwetsbaarheid in Samba waardoor een aanvaller op afstand willekeurige commando's op systemen kan uitvoeren.

Samba is een opensourceprogramma dat van het SMB-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. De eerste versie van het SMB-protocol dateert van 1983. Microsoft deed in 2020 nog een oproep om te stoppen met het gebruik van SMBv1. NAS-systemen van QNAP ondersteunen het protocol nog, wat in combinatie met de nu ontdekte kwetsbaarheid in Samba een risico is.

QNAP is nog bezig met een onderzoek naar het beveiligingslek en zegt zo snel mogelijk met beveiligingsupdates en verdere informatie te zullen komen. In de tussentijd wordt aangeraden om SMBv1 uit te schakelen en gasten geen toegang tot gedeelde mappen te geven. Dit is via het controlepaneel in te stellen.

Reacties (24)
09-02-2022, 19:52 door Anoniem
SMBv1 is al lang een kwetsbaar protocol en zou nergens meer gebruikt moeten worden.

De praktijk is anders.
10-02-2022, 08:56 door _R0N_
Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?
10-02-2022, 09:12 door S.A.T.A.N.
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?
10-02-2022, 09:23 door Anoniem
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

Dan loopt je Windows versie wel HEEL erg achter. Waarom standaard SMBv1 ondersteunen als 99.99% van alle machines dit niet nodig hebben? SMBv1.0 is pre-Vista tijd. Zeg dan "we installeren SMBv1 standaard niet, en als je het wilt hebben, dan is dit op eigen risico en ben je sowieso al aan de goden overgeleverd". In de netwerken die ik tegen kom zijn het trouwens vaak Linux machines die alleen SMBv1 ondersteunen en de oorzaak zijn dat upgrades niet doorgevoerd kunnen worden.
10-02-2022, 09:29 door Anoniem
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

ja, SMB2.
SMB 1 is al jaren lang dood, alleen nog niet begraven
10-02-2022, 10:23 door Anoniem
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

Onzin, Microsoft heeft zelf SMBv2 en hoger als opties. Wie zijn systemen bijhoudt, is allang overgestapt. En inderdaad, tijdens dat overstappen kun je problemen krijgen, wanneer je niet eerst alle clients voorziet van SMB in ook hogere versies. Daarna SMBv1 uitzetten op de hosts en vervolgens pas op de clients, zodat het geheel blijft werken. Maar intussen zou elke Windows gebruiker geen SMBv1 meer hoeven te gebruiken.
10-02-2022, 11:55 door Anoniem
Door Anoniem:
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

Dan loopt je Windows versie wel HEEL erg achter. Waarom standaard SMBv1 ondersteunen als 99.99% van alle machines dit niet nodig hebben? SMBv1.0 is pre-Vista tijd. Zeg dan "we installeren SMBv1 standaard niet, en als je het wilt hebben, dan is dit op eigen risico en ben je sowieso al aan de goden overgeleverd". In de netwerken die ik tegen kom zijn het trouwens vaak Linux machines die alleen SMBv1 ondersteunen en de oorzaak zijn dat upgrades niet doorgevoerd kunnen worden.
Jokkebrok. Samba ondersteunt niet alleen smb1 Het enige wat je hoeft te doen is in smb.conf een configuratie setting te veranderen: min protocol = SMB2
10-02-2022, 11:58 door Anoniem
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

De wereld is groter dan Windows. Onze printers bijvoorbeeld ondersteunen alleen SMB v1.
10-02-2022, 12:06 door _R0N_ - Bijgewerkt: 10-02-2022, 12:06
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

Die gebruiken al jaren geen v1 meer, v1 wordt alleen nog op Linux gebruikt.
10-02-2022, 12:26 door S.A.T.A.N. - Bijgewerkt: 10-02-2022, 12:27
Door Anoniem:
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

Onzin, Microsoft heeft zelf SMBv2 en hoger als opties. Wie zijn systemen bijhoudt, is allang overgestapt. En inderdaad, tijdens dat overstappen kun je problemen krijgen, wanneer je niet eerst alle clients voorziet van SMB in ook hogere versies. Daarna SMBv1 uitzetten op de hosts en vervolgens pas op de clients, zodat het geheel blijft werken. Maar intussen zou elke Windows gebruiker geen SMBv1 meer hoeven te gebruiken.

Ik schreef toch 'dat soort protocollen'! Versie 1 of 2 of 3, allemaal een pot nat!

Door _R0N_:
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

Die gebruiken al jaren geen v1 meer, v1 wordt alleen nog op Linux gebruikt.

Oh, Microsoft houdt de broncode van haar protocolimplementatie natuurlijk geheim (closed source) zodat de concurrenten er onevenredig veel tijd en inspanning in moeten stoppen. Werkelijk schandalig is het!
10-02-2022, 12:42 door Anoniem
Door _R0N_:
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

Die gebruiken al jaren geen v1 meer, v1 wordt alleen nog op Linux gebruikt.
Wat een domme opmerking. LInux servers gebruiken alleen smb om met windows bestanden uit te wisselen. Als windows dat niet gebruikt vervalt de noodzaak en kan het er worden afgehaald met 1 commando.
10-02-2022, 14:15 door Anoniem
Door Anoniem:
Door Anoniem:
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

Dan loopt je Windows versie wel HEEL erg achter. Waarom standaard SMBv1 ondersteunen als 99.99% van alle machines dit niet nodig hebben? SMBv1.0 is pre-Vista tijd. Zeg dan "we installeren SMBv1 standaard niet, en als je het wilt hebben, dan is dit op eigen risico en ben je sowieso al aan de goden overgeleverd". In de netwerken die ik tegen kom zijn het trouwens vaak Linux machines die alleen SMBv1 ondersteunen en de oorzaak zijn dat upgrades niet doorgevoerd kunnen worden.
Jokkebrok. Samba ondersteunt niet alleen smb1 Het enige wat je hoeft te doen is in smb.conf een configuratie setting te veranderen: min protocol = SMB2

Niks jokkebrok! Wat Samba ondersteunt is irrelevant voor wat er is geimplementeerd en de ellende die ik bij grote bedrijven tegenkom op gebied van activatie/ uitfasering van SMBv1 op Linux. Geen netwerk vormt op dat punt een uitzondering. We willen op domain controllers wijzigingen doorvoeren? Nee, sorry, Linux ligt dwars. We willen na 15 jaar nou eindelijk eens van SMBv1 af want de vulnerability management tooling schreeuwt al jaren moord en brand? Nee, Linux kan het niet aan. Het zal wellicht te maken hebben met het applicatielandschap, wie weet. Of de Linux beheerders liggen gewoon dwars, dat zou ook kunnen.
10-02-2022, 14:45 door Anoniem
Door Anoniem:
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

Dan loopt je Windows versie wel HEEL erg achter. Waarom standaard SMBv1 ondersteunen als 99.99% van alle machines dit niet nodig hebben? SMBv1.0 is pre-Vista tijd. Zeg dan "we installeren SMBv1 standaard niet, en als je het wilt hebben, dan is dit op eigen risico en ben je sowieso al aan de goden overgeleverd". In de netwerken die ik tegen kom zijn het trouwens vaak Linux machines die alleen SMBv1 ondersteunen en de oorzaak zijn dat upgrades niet doorgevoerd kunnen worden.

Dan moet je die Linux machines eens laten upgraden, SMB2 support zit al in de Linux kernel sinds 2012.
10-02-2022, 15:55 door Anoniem

Oh, Microsoft houdt de broncode van haar protocolimplementatie natuurlijk geheim (closed source) zodat de concurrenten er onevenredig veel tijd en inspanning in moeten stoppen. Werkelijk schandalig is het!

Kom kom.... beetje bij de les blijven. Microsoft doet al sinds jaar en dag aan open standaarden. De diverse protocollen staan tot in de bittere details beschreven. Zoals SMB hier:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb2/5606ad47-5ee0-437a-817e-70c366052962
10-02-2022, 15:57 door Anoniem
Door Anoniem:
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

De wereld is groter dan Windows. Onze printers bijvoorbeeld ondersteunen alleen SMB v1.

Ik kom ze ook nog tegen, maar dat zijn wel heel oude printers. Vast niet meer ondersteund door de leverancier.
En hoe dan ook dringend aan vervanging toe, omdat ze afhankelijk zijn van een protocol waar al ruim 10 jaar van bekend is dat het kwetsbaar is.
10-02-2022, 16:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

Dan loopt je Windows versie wel HEEL erg achter. Waarom standaard SMBv1 ondersteunen als 99.99% van alle machines dit niet nodig hebben? SMBv1.0 is pre-Vista tijd. Zeg dan "we installeren SMBv1 standaard niet, en als je het wilt hebben, dan is dit op eigen risico en ben je sowieso al aan de goden overgeleverd". In de netwerken die ik tegen kom zijn het trouwens vaak Linux machines die alleen SMBv1 ondersteunen en de oorzaak zijn dat upgrades niet doorgevoerd kunnen worden.
Jokkebrok. Samba ondersteunt niet alleen smb1 Het enige wat je hoeft te doen is in smb.conf een configuratie setting te veranderen: min protocol = SMB2

Niks jokkebrok! Wat Samba ondersteunt is irrelevant voor wat er is geimplementeerd en de ellende die ik bij grote bedrijven tegenkom op gebied van activatie/ uitfasering van SMBv1 op Linux. Geen netwerk vormt op dat punt een uitzondering. We willen op domain controllers wijzigingen doorvoeren? Nee, sorry, Linux ligt dwars. We willen na 15 jaar nou eindelijk eens van SMBv1 af want de vulnerability management tooling schreeuwt al jaren moord en brand? Nee, Linux kan het niet aan. Het zal wellicht te maken hebben met het applicatielandschap, wie weet. Of de Linux beheerders liggen gewoon dwars, dat zou ook kunnen.
Wat een gezwets met Linux ligt dwars of kan het niet aan. Er zal wel een oude windows applicatie gesupport moeten worden. Smb2 zit namelijk al 10 jaar in Samba en SMB3 9 jaar. Misschien dat die beheerders zeggen gebruik maar NFSv4 of webdav of sftp want smb is geen open standaard.
10-02-2022, 16:10 door Anoniem
Door Anoniem:
Door Anoniem:
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

Dan loopt je Windows versie wel HEEL erg achter. Waarom standaard SMBv1 ondersteunen als 99.99% van alle machines dit niet nodig hebben? SMBv1.0 is pre-Vista tijd. Zeg dan "we installeren SMBv1 standaard niet, en als je het wilt hebben, dan is dit op eigen risico en ben je sowieso al aan de goden overgeleverd". In de netwerken die ik tegen kom zijn het trouwens vaak Linux machines die alleen SMBv1 ondersteunen en de oorzaak zijn dat upgrades niet doorgevoerd kunnen worden.

Dan moet je die Linux machines eens laten upgraden, SMB2 support zit al in de Linux kernel sinds 2012.
Daar hebben ze vast geen tijd voor want alle aandacht wordt opgesoupeerd door dat andere OS
10-02-2022, 16:15 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

Dan loopt je Windows versie wel HEEL erg achter. Waarom standaard SMBv1 ondersteunen als 99.99% van alle machines dit niet nodig hebben? SMBv1.0 is pre-Vista tijd. Zeg dan "we installeren SMBv1 standaard niet, en als je het wilt hebben, dan is dit op eigen risico en ben je sowieso al aan de goden overgeleverd". In de netwerken die ik tegen kom zijn het trouwens vaak Linux machines die alleen SMBv1 ondersteunen en de oorzaak zijn dat upgrades niet doorgevoerd kunnen worden.
Jokkebrok. Samba ondersteunt niet alleen smb1 Het enige wat je hoeft te doen is in smb.conf een configuratie setting te veranderen: min protocol = SMB2

Niks jokkebrok! Wat Samba ondersteunt is irrelevant voor wat er is geimplementeerd en de ellende die ik bij grote bedrijven tegenkom op gebied van activatie/ uitfasering van SMBv1 op Linux. Geen netwerk vormt op dat punt een uitzondering. We willen op domain controllers wijzigingen doorvoeren? Nee, sorry, Linux ligt dwars. We willen na 15 jaar nou eindelijk eens van SMBv1 af want de vulnerability management tooling schreeuwt al jaren moord en brand? Nee, Linux kan het niet aan. Het zal wellicht te maken hebben met het applicatielandschap, wie weet. Of de Linux beheerders liggen gewoon dwars, dat zou ook kunnen.

Ik denk dat "die grote bedrijven" dan bedoelen, wij zijn te bang op iets te upgraden dus zeggen we maar dat Linux het niet aankan. Ik werk zelf in een hybride omgeving en er is altijd een mouw aan te passen, je kan zelfs Windows machines NFS laten praten. ;-)
10-02-2022, 18:18 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Ongemodereerd:
Door _R0N_: Dat is al jaren lek, waarom ondersteunen ze dit nog standaard?

Computers met Windows die alleen bij gedeelde bestanden kunnen via dit soort protocollen?

Dan loopt je Windows versie wel HEEL erg achter. Waarom standaard SMBv1 ondersteunen als 99.99% van alle machines dit niet nodig hebben? SMBv1.0 is pre-Vista tijd. Zeg dan "we installeren SMBv1 standaard niet, en als je het wilt hebben, dan is dit op eigen risico en ben je sowieso al aan de goden overgeleverd". In de netwerken die ik tegen kom zijn het trouwens vaak Linux machines die alleen SMBv1 ondersteunen en de oorzaak zijn dat upgrades niet doorgevoerd kunnen worden.
Jokkebrok. Samba ondersteunt niet alleen smb1 Het enige wat je hoeft te doen is in smb.conf een configuratie setting te veranderen: min protocol = SMB2

Niks jokkebrok! Wat Samba ondersteunt is irrelevant voor wat er is geimplementeerd en de ellende die ik bij grote bedrijven tegenkom op gebied van activatie/ uitfasering van SMBv1 op Linux. Geen netwerk vormt op dat punt een uitzondering. We willen op domain controllers wijzigingen doorvoeren? Nee, sorry, Linux ligt dwars. We willen na 15 jaar nou eindelijk eens van SMBv1 af want de vulnerability management tooling schreeuwt al jaren moord en brand? Nee, Linux kan het niet aan. Het zal wellicht te maken hebben met het applicatielandschap, wie weet. Of de Linux beheerders liggen gewoon dwars, dat zou ook kunnen.

Ik denk dat "die grote bedrijven" dan bedoelen, wij zijn te bang op iets te upgraden dus zeggen we maar dat Linux het niet aankan. Ik werk zelf in een hybride omgeving en er is altijd een mouw aan te passen, je kan zelfs Windows machines NFS laten praten. ;-)
Kan maar presteert niet! Samba is er gekomen omdat die unix tools van MS pet waren.
10-02-2022, 23:35 door S.A.T.A.N.
Door Anoniem:

Oh, Microsoft houdt de broncode van haar protocolimplementatie natuurlijk geheim (closed source) zodat de concurrenten er onevenredig veel tijd en inspanning in moeten stoppen. Werkelijk schandalig is het!

Kom kom.... beetje bij de les blijven. Microsoft doet al sinds jaar en dag aan open standaarden. De diverse protocollen staan tot in de bittere details beschreven. Zoals SMB hier:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb2/5606ad47-5ee0-437a-817e-70c366052962

Ik schreef protocolimplementatie... (de broncode van de implementatie van de open standaard). Die wil ik graag open source zien, want dat scheelt veel bij het overzetten naar andere besturingssystemen.
11-02-2022, 11:33 door Anoniem
Door Ongemodereerd:
Door Anoniem:

Oh, Microsoft houdt de broncode van haar protocolimplementatie natuurlijk geheim (closed source) zodat de concurrenten er onevenredig veel tijd en inspanning in moeten stoppen. Werkelijk schandalig is het!

Kom kom.... beetje bij de les blijven. Microsoft doet al sinds jaar en dag aan open standaarden. De diverse protocollen staan tot in de bittere details beschreven. Zoals SMB hier:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb2/5606ad47-5ee0-437a-817e-70c366052962

Ik schreef protocolimplementatie... (de broncode van de implementatie van de open standaard). Die wil ik graag open source zien, want dat scheelt veel bij het overzetten naar andere besturingssystemen.
Die wordt niet open want dan zie je dat ms windows2windows mogelijk bevoordeelt dankzij undocument features net als vroeger netscape werd afgeknepen.
11-02-2022, 14:35 door Anoniem
Door Anoniem:
Niks jokkebrok! Wat Samba ondersteunt is irrelevant voor wat er is geimplementeerd en de ellende die ik bij grote bedrijven tegenkom op gebied van activatie/ uitfasering van SMBv1 op Linux. Geen netwerk vormt op dat punt een uitzondering. We willen op domain controllers wijzigingen doorvoeren? Nee, sorry, Linux ligt dwars. We willen na 15 jaar nou eindelijk eens van SMBv1 af want de vulnerability management tooling schreeuwt al jaren moord en brand? Nee, Linux kan het niet aan. Het zal wellicht te maken hebben met het applicatielandschap, wie weet. Of de Linux beheerders liggen gewoon dwars, dat zou ook kunnen.

Wat een verschrikkelijke trol post weer, en ja, ik reageer er nog op ook. Het doet me pijn aan m'n ogen als ik lees wat er hier met enige regelmaat voorbij komt. Controleer eerst eens of het klopt wat op een forum verkondigd voordat je dat doet. Het heeft werkelijk NIETS met Linux te maken, want Linux "spreekt" geen SMB.

Samba "spreekt" sinds 2011 SMB2, sinds 2013 SMB3, sinds 2015 SMB3.1.1, en verder heb ik niet gekeken. Sinds 2019 (Samba 4.11) is SMB1 standaard disabled.

Het is dus een keuze om SMB1 toe te staan:
- Als QNAP tegen beter weten in SMB1 enabled laat, dan is dat de schuld van QNAP (of welke andere leverancier dan ook) en moet je daar je gram halen. Het is niet de schuld van Linux.
- Als jullie systeembeheerder SMB1 enabled laat, dan moet het bedrijfsmanagement hem of haar een schop geven zodat het disabled gaat. Het is weer niet de schuld van Linux.
- Als er printers of andere hardware uit de prehistorie in het netwerk zitten die alleen SMB1 spreekt dan heb je of pech en zul je ermee om moeten gaan, of zul je die hardware moeten vervangen door iets wat meer bij de tijd is. En ja, dat kost doorgaans geld. En het is opnieuw niet de schuld van Linux of Samba.
12-02-2022, 21:17 door Anoniem
Waarom zou je SMB verkeer over het Internet überhaupt toe staan? Dan heb je iets echt niet begrepen qua security. Als je al bestanden wilt uitwisselen dan zijn daar veel veiligere alternatieven voor, daar heb je die SMB braf helemaal niet voor nodig.
Set een SFTP server op of desnoods SSH of rsync over TLS met die zooi.
Als je al SMB, bijvoorbeeld voor printers, wilt gebruiken doe dat dan binnen een gesloten IP segment. Mijns inziens is SMB ook nooit bedoeld om via het Inet gebruikt te worden.
14-02-2022, 15:02 door Anoniem
Door Anoniem: Waarom zou je SMB verkeer over het Internet überhaupt toe staan? Dan heb je iets echt niet begrepen qua security. Als je al bestanden wilt uitwisselen dan zijn daar veel veiligere alternatieven voor, daar heb je die SMB braf helemaal niet voor nodig.
Set een SFTP server op of desnoods SSH of rsync over TLS met die zooi.
Als je al SMB, bijvoorbeeld voor printers, wilt gebruiken doe dat dan binnen een gesloten IP segment. Mijns inziens is SMB ook nooit bedoeld om via het Inet gebruikt te worden.
Dit is geen troll post. SMB was bedoeld als internet-alternatief omdat Bill niets met het internet had. De Microsoft neighbourhood moest het worden met iedereen een Microsoft paspoort.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.