NAS-System von Qnap weist laut F-Secure-Warnung Sicherheitslecks auf

Angreifer haben die Möglichkeit, unbehelligt Malware zu installieren, auf Inhalte und Daten zuzugreifen, Passwörter zu stehlen und sogar Befehle per Remote auszuführen, wie F-Secure warnt. Schätzungen zufolge sind mindestens 1,4 Millionen Geräte betroffen.

Laut einer Mitteilung von F-Secure Labs weist das NAS-System TVS-663 von Qnap drei Schwachstellen auf. Angreifen können über eine geschickte Kombination dieser an sich noch nicht gefährlichen Lecks in dem Network Attached Storage von Qnap Systems allerdings die Kontrolle über diese Geräte erlangen. F-Secure warnt, dass Millionen von Geräten und so großen Mengen privater Daten betroffen sein können.

Dem finnischen Sicherheitsspezialisten zufolge soll es über die Sicherheitslücken in dem NAS-Modell TVS-663 möglich sein, über den Firmware-Update-Prozess des Geräts administrative Rechte zu erlangen. Ein Angreifer würde wie ein legitmer Administrator so die gleiche Kontrolle über das Gerät. Er hätte so die Möglichkeit, unbehelligt Malware zu installieren, auf Inhalte und Daten zuzugreifen, Passwörter zu stehlen und sogar Befehle per Remote auszuführen.

Über die Kombination mehrer kleiner Sicherheitslücken war der F-Secure-Sicherheitsberater Harry Sintonen in der Lage, die Vollständige Kontrolle über ein NAS-Gerät von Qnap zu übernehmen. (Bild: F-Secure)Über die Kombination mehrer kleiner Sicherheitslücken war der F-Secure-Sicherheitsberater Harry Sintonen in der Lage, die Vollständige Kontrolle über ein NAS-Gerät von Qnap zu übernehmen. (Bild: F-Secure)

In einem von ihm entwickelten Proof-of-Concept demonstriert Harry Sintonen, Senior Security Consultant bei F-Secure, wie sich diese Sicherheitslücken ausnutzen lassen. „Viele dieser Arten von Schwachstellen sind für sich allein nicht gefährlich. Angreifer, die in der Lage sind, sie zusammenzubringen, können jedoch eine massive Gefahr herbeiführen“, sagte Sintonen.

Mit dem Beispielhack konnte Sintonen zeigen, dass das Gerät beim Starten unverschlüsselte Anfragen für Firmware-Updates an das Unternehmen zurücksendet. Die mangelnde Verschlüsselung erlaubt es möglichen Angreifern, die Antwort auf diese Anfrage abzufangen und zu modifizieren. Sintonen nutzte diese Lücke aus, um einen als Firmware-Update getarnten Exploit in das Gerät einzuschleusen.

Das Gerät erkennt aber als Firmware-Update getarnte Malware als legitime Aktualisierung und versucht, diese automatisch zu installieren. Tatsächlich wird aber kein Update installiert. Sintonen war laut eigenen Angaben in der Lage, über einen weiteren Fehler im Prozess das gesamte System zu kompromittieren.

Das Stehlen oder Ändern von Daten ist Sintonen zufolge für einen Angreifer, der in der Lage ist, diese Schwachstellen so auszunutzen, sehr einfach. „Es ist nur erforderlich, dem Gerät zu sagen, dass eine neuere Version der Firmware bereitsteht. Da die Update-Anforderung ohne Verschlüsselung erfolgt, ist dies nicht sehr schwer. Danach kann der Angreifer im Grunde alles tun, was er will.“

Sintonen beschränkte seine Untersuchung auf das Qnap TVS-663, er vermutet jedoch, dass Modelle, die dieselbe Firmware verwenden, dieselben Probleme aufweisen könnten. Demnach schätzt er, dass über 1,4 Millionen Geräte anfällig sein könnten, wobei die Zahl tatsächlich noch höher sein könnte. „Wir haben Firmware-Versionen untersucht, die derzeit verwendet werden. Aber da viele Anwender Firmware nie aktualisieren, könnte die tatsächliche Zahl noch deutlich höher sein“, spekuliert Sintonen.

Wie es in einer Mitteilung heißt, hat F-Secure QNAP im Februar 2016 über diese Probleme informiert. Ob QNnap die Probleme behoben hat, ist F-Secure Labs bislang nicht bekannt. Aber ohne einen Patch seitens des Herstellers sehen die Sicherheitsexperten keine Möglichkeit, diese NAS-Geräte abzusichern.

„Probleme treten bei unglaublich vielen Internet-angebundenen Geräten auf, so dass wir ständig Produkte kaufen, die diese Sicherheitsprobleme aufweisen“, so Janne Kauhanen, Experte für Cybersicherheit bei F-Secure. „Aber in diesem Fall müssen Angreifer zuerst zwischen Update-Server und Endbenutzer ansetzen, und dieser zusätzliche Schritt ist genug Arbeit, um viele opportunistische oder gering qualifizierte Angreifer zu entmutigen.“

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

Kauhanen berichtet allerdings von ähnlichen Sicherheitslücken, die in der Vergangenheit bereits aktiv von Hackern etwa für die Vorbereitung von Phishing-Kampagnen oder als Tarnung für langfristig angelegte Angriffe auf sensible Unternehmensdaten genutzt wurden. Anwender sollten, um sich im Fall von QNAP TVS-663 oder anderen Geräten mit der Firmware QTS 4.2 oder älter zu schützen, die automatische Überprüfung der Firmware-Updates deaktivieren und die Überprüfung manuell mit gesicherten Quellen durchführen.

WEBINAR

What´s next – Storage & Co: Die Enterprise Cloud!

Lernen Sie in diesem Audio-Webinar die Bausteine einer Enterprise Cloud Plattform kennen. Erfahren Sie, wie Sie maximale Freiheit und Flexibilität für Ihre Anwendungen erzielen. Mehr Outcome mit weniger Input erzielen – konkrete Anwendungsbeispiele.

[Mit Material von Martin Schindler, silicon.de]

Themenseiten: IoT, Security, Sicherheit, Storage

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu NAS-System von Qnap weist laut F-Secure-Warnung Sicherheitslecks auf

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *