De afgelopen dagen hebben onderzoekers tijdens de Pwn2Own-hackwedstrijd in Ierland tal van kwetsbaarheden in een NAS en router van fabrikant QNAP gevonden. QNAP spreekt zelf over een 'leerervaring', maar onderzoekers zijn kritisch over de beveiliging van de apparatuur, die als gebrekkig wordt omschreven. Ze waarschuwen dat door deze kwetsbaarheden niet alleen de bedrijven die er gebruik van maken in de problemen kunnen komen, maar met het in werking treden van de Cyber Resilience Act ontstaat er ook een compliance-risico voor de fabrikanten, distributeurs en importeurs van de apparaten, zo stellen ze.
Tijdens Pwn2Own worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten en software. De Pwn2Own-editie in Ierland draait onder andere om routers en NAS-apparaten. Daarbij is er ook een speciaal onderdeel genaamd de 'SOHO Smashup'. Door eerst een router te compromitteren en daarvandaan het aangesloten NAS-apparaat kan er 100.000 dollar worden verdiend. Vandaag vindt de vierde en laatste dag van het evenement plaats.
Elke dag demonstreerden onderzoekers onbekende kwetsbaarheden in de QNAP QHora-322 router en TS-464 NAS. Ook vandaag wisten onderzoekers een 'SOHO Smashup' succesvol uit te voeren, door eerst de QNAP-router te compromitteren en daarvandaan de aangesloten Lexmark-printer. Gisteren waren onderzoekers van het Nederlandse securitybedrijf Computest Security succesvol met hun SOHO Smashup.
De onderzoekers compromitteerden eerst de QNAP-router en daarvandaan de aangesloten TrueNAS Mini X. Deze combi-aanval werd woensdag ook al door andere onderzoekers gedemonstreerd. Volgens de Computest-onderzoekers hadden deze kwetsbaarheden ook door de fabrikant ontdekt kunnen worden als die een securitytest op de apparaten had laten uitvoeren. "Het ontbreken van adequate beveiliging op beide devices betekent niet alleen dat cybercriminelen mogelijk direct kunnen doordringen tot het interne netwerk en daarmee toegang krijgen tot gevoelige data, maar laat ook zien dat edge devices een aantrekkelijk doelwit zijn voor hackers”, aldus Daan Keuper van Computest.
QNAP kwam vandaag met een verklaring waarin het 'diepe dankbaarheid' uit voor de 'waardevolle inzichten' die het tijdens 'deze leerervaring' heeft opgedaan. Het bedrijf zegt de inspanningen op het gebied van productbeveiliging te vergroten. De kwetsbaarheden die de afgelopen dagen in de QNAP-apparaten werden gedemonstreerd zijn met de fabrikant gedeeld, zodat die met updates kan komen. Wanneer de patches zullen verschijnen is onbekend.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.