image

QNAP noemt Pwn2Own-kwetsbaarheden 'leerervaring', onderzoekers kritisch

vrijdag 25 oktober 2024, 11:28 door Redactie, 4 reacties

De afgelopen dagen hebben onderzoekers tijdens de Pwn2Own-hackwedstrijd in Ierland tal van kwetsbaarheden in een NAS en router van fabrikant QNAP gevonden. QNAP spreekt zelf over een 'leerervaring', maar onderzoekers zijn kritisch over de beveiliging van de apparatuur, die als gebrekkig wordt omschreven. Ze waarschuwen dat door deze kwetsbaarheden niet alleen de bedrijven die er gebruik van maken in de problemen kunnen komen, maar met het in werking treden van de Cyber Resilience Act ontstaat er ook een compliance-risico voor de fabrikanten, distributeurs en importeurs van de apparaten, zo stellen ze.

Tijdens Pwn2Own worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten en software. De Pwn2Own-editie in Ierland draait onder andere om routers en NAS-apparaten. Daarbij is er ook een speciaal onderdeel genaamd de 'SOHO Smashup'. Door eerst een router te compromitteren en daarvandaan het aangesloten NAS-apparaat kan er 100.000 dollar worden verdiend. Vandaag vindt de vierde en laatste dag van het evenement plaats.

Elke dag demonstreerden onderzoekers onbekende kwetsbaarheden in de QNAP QHora-322 router en TS-464 NAS. Ook vandaag wisten onderzoekers een 'SOHO Smashup' succesvol uit te voeren, door eerst de QNAP-router te compromitteren en daarvandaan de aangesloten Lexmark-printer. Gisteren waren onderzoekers van het Nederlandse securitybedrijf Computest Security succesvol met hun SOHO Smashup.

De onderzoekers compromitteerden eerst de QNAP-router en daarvandaan de aangesloten TrueNAS Mini X. Deze combi-aanval werd woensdag ook al door andere onderzoekers gedemonstreerd. Volgens de Computest-onderzoekers hadden deze kwetsbaarheden ook door de fabrikant ontdekt kunnen worden als die een securitytest op de apparaten had laten uitvoeren. "Het ontbreken van adequate beveiliging op beide devices betekent niet alleen dat cybercriminelen mogelijk direct kunnen doordringen tot het interne netwerk en daarmee toegang krijgen tot gevoelige data, maar laat ook zien dat edge devices een aantrekkelijk doelwit zijn voor hackers”, aldus Daan Keuper van Computest.

QNAP kwam vandaag met een verklaring waarin het 'diepe dankbaarheid' uit voor de 'waardevolle inzichten' die het tijdens 'deze leerervaring' heeft opgedaan. Het bedrijf zegt de inspanningen op het gebied van productbeveiliging te vergroten. De kwetsbaarheden die de afgelopen dagen in de QNAP-apparaten werden gedemonstreerd zijn met de fabrikant gedeeld, zodat die met updates kan komen. Wanneer de patches zullen verschijnen is onbekend.

Reacties (4)
25-10-2024, 16:33 door Anoniem
Ik heb er ook al eens een bug gemeld mbt security...
Voordat je de security afdeling krijgt ben je al aardig wat hoepels verder.
27-10-2024, 11:35 door Anoniem
Onderzoekers hebben een beetje teveel last van ' air ' dan...
Je mag blij zijn als er fabrikanten zijn die met P2O willen meedoen en daar medewerking aan verlenen..
Dan ga je ze liggen afzeiken?
Zelfs als ze de boel compleet amateuristisch neergezet hadden, dan had je dat niet op die manier moeten verwoorden... prutsers.
28-10-2024, 09:21 door Anoniem
Het is leuk/interessant dat ook een producent van netwerkapparatuur voor consumenten meedoet aan een Pwn2Own competitie. Zeer leerzaam voor de producenten omdat die deelnames laten zien waar hun producten staan ten opzichte van de huidige kennis en vaardigheden in de security gemeenschap.
Een leerervaring: zeker. Zullen ze volgend jaar weer meedoen, dat weet ik niet. Gaat er binnen QNAP structureel gewerkt worden aan betere beveiliging, waarschijnlijk wel en dat is goed voor ons allemaal.
Als QNAP de handschoen oppakt en beveiliging serieus neemt, dan kan het nog 2-3 jaar duren voordat je de volledige resultaten daarvan ziet. Zolang duurt een typisch verbetertraject.
28-10-2024, 10:18 door Anoniem
QNAP maakt hardware-matig erg goede NAS-sen, imho (veel value for money). Maar software-matig komt het op mij vrij rommelig over & de afgelopen tijd zijn er behoorlijk wat security-incidenten geweest. Hopelijk leert men ervan & zal men de software beter stroomlijnen (meer eenheid) & wordt de security verbeterd.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.