image

VS meldt actieve aanvallen op NAS-systemen fabrikant TerraMaster

zaterdag 11 februari 2023, 08:56 door Redactie, 11 reacties

NAS-systemen van fabrikant TerraMaster zijn het doelwit van aanvallen, zo waarschuwt de Amerikaanse overheid. In het TerraMaster Operating System (TOS), dat op de NAS-systemen draait, bevindt zich een kwetsbaarheid (CVE-2022-24990) waardoor een aanvaller op afstand het beheerderswachtwoord kan achterhalen, om daarmee vervolgens in te loggen. Het beveiligingslek is aanwezig in versie 4.2.29 en eerder.

TerraMaster kwam vorig jaar maart en april met firmware-updates (4.2.31). Destijds maakten de onderzoekers die het probleem ontdekten ook de details bekend. Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, laat nu weten dat aanvallers actief misbruik van de kwetsbaarheid maken. De NAS-systemen van TerraMaster worden vooral in zakelijke en professionele omgevingen gebruikt. Het CISA heeft Amerikaanse overheidsinstanties nu opgedragen om de update voor 3 maart te installeren.

Reacties (11)
11-02-2023, 15:52 door Anoniem
Wat zijn dat toch voor gasten die hun NAS aan het internet hangen?
Blijkbaar is object storage nog veel te duur.
11-02-2023, 17:31 door Anoniem
Door Anoniem: Wat zijn dat toch voor gasten die hun NAS aan het internet hangen?
Blijkbaar is object storage nog veel te duur.
Enig idee over wat voor nas oplossingen dit zijn?
12-02-2023, 10:12 door Anoniem
Door Anoniem: Wat zijn dat toch voor gasten die hun NAS aan het internet hangen?
Wat zijn dat toch voor gasten die gaan patches installeren die bijna een jaar oud zijn?
Blijkbaar is object storage nog veel te duur.
En wat zou dit nu precies oplossen tov een gewone NAS of een TerraMaster NAS?

Zoals ik het begrijp, zijn dit namelijk 2 totaal verschillende type oplossing ofwel andere doeleinden.
Maar vertel mij, waar ik dit verkeerd begrijp, aangezien jij andere conclusies hebt voor de product eigenschappen.
12-02-2023, 16:49 door Anoniem
Door Anoniem: Wat zijn dat toch voor gasten die hun NAS aan het internet hangen?
Blijkbaar is object storage nog veel te duur.

Fabrikanten moeten consumenten beter voorlichten over de gevaren van hun producten.
12-02-2023, 19:58 door Anoniem
Door Anoniem:
Door Anoniem: Wat zijn dat toch voor gasten die hun NAS aan het internet hangen?
Wat zijn dat toch voor gasten die gaan patches installeren die bijna een jaar oud zijn?
Ik denk dat er wel wat te zeggen is voor een verplichting, en om te beginnen een beleid van fabrikanten, dat het openstellen van dit soort devices vanaf internet alleen mogelijk is als er een voorziening voor het automatisch installeren van patches aanwezig is en ingeschakeld is.
M.a.w. je mag best kiezen om geen patches te willen installeren maar dan heb je ook geen "service benaderbaar vanaf internet" functionaliteit.

Alleen zal het niet in alle gevallen voldoende zijn, want zelfs als je NAS niet vanaf internet bereikbaar is dan is het nog mogelijk dat malware die op je computer terecht komt (of in bepaalde gevallen zelfs een site die je bezoekt op internet, gecombineerd met een wrakkige beveiliging in je browser) alsnog "binnendoor" bij je NAS komt.
12-02-2023, 20:04 door Anoniem
Door Anoniem:
Door Anoniem: Wat zijn dat toch voor gasten die hun NAS aan het internet hangen?
Blijkbaar is object storage nog veel te duur.

Fabrikanten moeten consumenten beter voorlichten over de gevaren van hun producten.
Wie zegt dat dit niet gedaan is/was?

De update was al lang beschikbaar?
12-02-2023, 23:49 door Anoniem
Door Anoniem: Wat zijn dat toch voor gasten die hun NAS aan het internet hangen?
Blijkbaar is object storage nog veel te duur.

Waarom praat je over twee totaal verschillende dingen , alsof "object storage" iets zegt over "(niet) aan Internet hangen" ?

object storage zegt iets over de manier waarop de data die je opslaat benaderd wordt .
Niet als een filesystem met blocks , maar als "objecten" die je schrijft en leest op basis van een object identifier .

Meestal is de API waarmee je object storage aanspreekt HTTP gebaseerd .

Je kunt prima argumenteren dat een thuis-NAS met http(s) interface een "object storage" device is ; Dat die objecten uiteindelijk op een onderliggend filesysteem staan , en dat je dat filesysteem ook kunt benaderen mat SMB of NFS, implementatie detail .

Bijvoorbeeld CEPH is van origine object storage, maar er is een filesystem-API layer ook voor beschikbaar - CephFS .

Amazon S3 is een voorbeeld van object storage.

Anyway - een object storage device met een HTTP interface - dat is wat je comment zo ontzettend dom maakt .
Die _kun_ je ook "aan Internet" hangen - misschien ook niet verstandig , maar roepen "NAS aan internet is dom, je moet object storage nemen" laat alleen maar zien dat je geen benul hebt van wat object storage is .

Deze specifieke NAS vulnerability zat in de management interface van het ding - nu is het zeker onverstandig de management interface van welk device dan ook direct te exposen - maar dat staat nog meer los van het soort storage .

De management API van een fibrechannel SAN controller aan Internet hangen ook geen goed idee.
12-02-2023, 23:51 door Anoniem
Door Anoniem:
Door Anoniem: Wat zijn dat toch voor gasten die hun NAS aan het internet hangen?
Blijkbaar is object storage nog veel te duur.

Fabrikanten moeten consumenten beter voorlichten over de gevaren van hun producten.

Zeker.

De NAS-systemen van TerraMaster worden vooral in zakelijke en professionele omgevingen gebruikt.
En naast consumenten blijkbaar ook hun business en professionele klanten.
13-02-2023, 10:00 door _R0N_
Door Anoniem:
Door Anoniem: Wat zijn dat toch voor gasten die hun NAS aan het internet hangen?
Blijkbaar is object storage nog veel te duur.

Fabrikanten moeten consumenten beter voorlichten over de gevaren van hun producten.

Producenten moeten niet doen alsof hun product zo geweldig is om bestanden op te slaan over het internet.
QNAP bijvoorbeeld:

NAS (Network-attached Storage) is a smart data storage device where you can centrally store, manage and share all your files - including photos, videos, music, and documents. By connecting a NAS to your home/office network, you can build and share a safe storage space with family members/colleagues that can be accessed from PCs or mobile devices. Easy-to-use and with rich features, a NAS is more than just a simple backup solution.

TerraMaster:

The full name of NAS is "Network Attached Storage", which is a kind of network storage device that can store important data such as photos, movies, music and office files centrally.It can be used as a storage space for personal use, or shared with relatives, friends and colleagues.NAS can access data through computers, and you can use the mobile App to access data on mobile devices such as mobile phones at any time as well. It is your private cloud disk.Compared with the service of public cloud disk, NAS as a private cloud, has larger storage capacity, safer storage data and faster access.
15-02-2023, 11:36 door Anoniem
Door _R0N_:
Producenten moeten niet doen alsof hun product zo geweldig is om bestanden op te slaan over het internet.
Ja precies. En "er is een update beschikbaar" dat is niet voldoende, die update moet gewoon automatisch geinstalleerd
worden indien kritiek, en als de eigenaar dat niet wil dan moet de service voor "bestanden op internet" uit staan.
15-02-2023, 21:18 door Anoniem
Door Anoniem:
Door _R0N_:
Producenten moeten niet doen alsof hun product zo geweldig is om bestanden op te slaan over het internet.
Ja precies. En "er is een update beschikbaar" dat is niet voldoende, die update moet gewoon automatisch geinstalleerd
worden indien kritiek, en als de eigenaar dat niet wil dan moet de service voor "bestanden op internet" uit staan.
En dan weer klagen, dat de leverancier zonder toestemming iets installeert op jouw Nas.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.