QNAP noemt Pwn2Own-kwetsbaarheden 'leerervaring', onderzoekers kritisch
De afgelopen dagen hebben onderzoekers tijdens de Pwn2Own-hackwedstrijd in Ierland tal van kwetsbaarheden in een NAS en router van fabrikant QNAP gevonden. QNAP spreekt zelf over een 'leerervaring', maar onderzoekers zijn kritisch over de beveiliging van de apparatuur, die als gebrekkig wordt omschreven. Ze waarschuwen dat door deze kwetsbaarheden niet alleen de bedrijven die er gebruik van maken in de problemen kunnen komen, maar met het in werking treden van de Cyber Resilience Act ontstaat er ook een compliance-risico voor de fabrikanten, distributeurs en importeurs van de apparaten, zo stellen ze.
Tijdens Pwn2Own worden onderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten en software. De Pwn2Own-editie in Ierland draait onder andere om routers en NAS-apparaten. Daarbij is er ook een speciaal onderdeel genaamd de 'SOHO Smashup'. Door eerst een router te compromitteren en daarvandaan het aangesloten NAS-apparaat kan er 100.000 dollar worden verdiend. Vandaag vindt de vierde en laatste dag van het evenement plaats.
Elke dag demonstreerden onderzoekers onbekende kwetsbaarheden in de QNAP QHora-322 router en TS-464 NAS. Ook vandaag wisten onderzoekers een 'SOHO Smashup' succesvol uit te voeren, door eerst de QNAP-router te compromitteren en daarvandaan de aangesloten Lexmark-printer. Gisteren waren onderzoekers van het Nederlandse securitybedrijf Computest Security succesvol met hun SOHO Smashup.
De onderzoekers compromitteerden eerst de QNAP-router en daarvandaan de aangesloten TrueNAS Mini X. Deze combi-aanval werd woensdag ook al door andere onderzoekers gedemonstreerd. Volgens de Computest-onderzoekers hadden deze kwetsbaarheden ook door de fabrikant ontdekt kunnen worden als die een securitytest op de apparaten had laten uitvoeren. "Het ontbreken van adequate beveiliging op beide devices betekent niet alleen dat cybercriminelen mogelijk direct kunnen doordringen tot het interne netwerk en daarmee toegang krijgen tot gevoelige data, maar laat ook zien dat edge devices een aantrekkelijk doelwit zijn voor hackers”, aldus Daan Keuper van Computest.
QNAP kwam vandaag met een verklaring waarin het 'diepe dankbaarheid' uit voor de 'waardevolle inzichten' die het tijdens 'deze leerervaring' heeft opgedaan. Het bedrijf zegt de inspanningen op het gebied van productbeveiliging te vergroten. De kwetsbaarheden die de afgelopen dagen in de QNAP-apparaten werden gedemonstreerd zijn met de fabrikant gedeeld, zodat die met updates kan komen. Wanneer de patches zullen verschijnen is onbekend.
Voordat je de security afdeling krijgt ben je al aardig wat hoepels verder.
Je mag blij zijn als er fabrikanten zijn die met P2O willen meedoen en daar medewerking aan verlenen..
Dan ga je ze liggen afzeiken?
Zelfs als ze de boel compleet amateuristisch neergezet hadden, dan had je dat niet op die manier moeten verwoorden... prutsers.
Een leerervaring: zeker. Zullen ze volgend jaar weer meedoen, dat weet ik niet. Gaat er binnen QNAP structureel gewerkt worden aan betere beveiliging, waarschijnlijk wel en dat is goed voor ons allemaal.
Als QNAP de handschoen oppakt en beveiliging serieus neemt, dan kan het nog 2-3 jaar duren voordat je de volledige resultaten daarvan ziet. Zolang duurt een typisch verbetertraject.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
