NAS-System von Qnap weist laut F-Secure-Warnung Sicherheitslecks auf

Laut einer Mitteilung von F-Secure Labs weist das NAS-System TVS-663 von Qnap drei Schwachstellen auf. Angreifen können über eine geschickte Kombination dieser an sich noch nicht gefährlichen Lecks in dem Network Attached Storage von Qnap Systems allerdings die Kontrolle über diese Geräte erlangen. F-Secure warnt, dass Millionen von Geräten und so großen Mengen privater Daten betroffen sein können.

Dem finnischen Sicherheitsspezialisten zufolge soll es über die Sicherheitslücken in dem NAS-Modell TVS-663 möglich sein, über den Firmware-Update-Prozess des Geräts administrative Rechte zu erlangen. Ein Angreifer würde wie ein legitmer Administrator so die gleiche Kontrolle über das Gerät. Er hätte so die Möglichkeit, unbehelligt Malware zu installieren, auf Inhalte und Daten zuzugreifen, Passwörter zu stehlen und sogar Befehle per Remote auszuführen.

Über die Kombination mehrer kleiner Sicherheitslücken war der F-Secure-Sicherheitsberater Harry Sintonen in der Lage, die Vollständige Kontrolle über ein NAS-Gerät von Qnap zu übernehmen. (Bild: F-Secure)

In einem von ihm entwickelten Proof-of-Concept demonstriert Harry Sintonen, Senior Security Consultant bei F-Secure, wie sich diese Sicherheitslücken ausnutzen lassen. „Viele dieser Arten von Schwachstellen sind für sich allein nicht gefährlich. Angreifer, die in der Lage sind, sie zusammenzubringen, können jedoch eine massive Gefahr herbeiführen“, sagte Sintonen.

Mit dem Beispielhack konnte Sintonen zeigen, dass das Gerät beim Starten unverschlüsselte Anfragen für Firmware-Updates an das Unternehmen zurücksendet. Die mangelnde Verschlüsselung erlaubt es möglichen Angreifern, die Antwort auf diese Anfrage abzufangen und zu modifizieren. Sintonen nutzte diese Lücke aus, um einen als Firmware-Update getarnten Exploit in das Gerät einzuschleusen.

Das Gerät erkennt aber als Firmware-Update getarnte Malware als legitime Aktualisierung und versucht, diese automatisch zu installieren. Tatsächlich wird aber kein Update installiert. Sintonen war laut eigenen Angaben in der Lage, über einen weiteren Fehler im Prozess das gesamte System zu kompromittieren.

Das Stehlen oder Ändern von Daten ist Sintonen zufolge für einen Angreifer, der in der Lage ist, diese Schwachstellen so auszunutzen, sehr einfach. „Es ist nur erforderlich, dem Gerät zu sagen, dass eine neuere Version der Firmware bereitsteht. Da die Update-Anforderung ohne Verschlüsselung erfolgt, ist dies nicht sehr schwer. Danach kann der Angreifer im Grunde alles tun, was er will.“

Sintonen beschränkte seine Untersuchung auf das Qnap TVS-663, er vermutet jedoch, dass Modelle, die dieselbe Firmware verwenden, dieselben Probleme aufweisen könnten. Demnach schätzt er, dass über 1,4 Millionen Geräte anfällig sein könnten, wobei die Zahl tatsächlich noch höher sein könnte. „Wir haben Firmware-Versionen untersucht, die derzeit verwendet werden. Aber da viele Anwender Firmware nie aktualisieren, könnte die tatsächliche Zahl noch deutlich höher sein“, spekuliert Sintonen.

Wie es in einer Mitteilung heißt, hat F-Secure QNAP im Februar 2016 über diese Probleme informiert. Ob QNnap die Probleme behoben hat, ist F-Secure Labs bislang nicht bekannt. Aber ohne einen Patch seitens des Herstellers sehen die Sicherheitsexperten keine Möglichkeit, diese NAS-Geräte abzusichern.

„Probleme treten bei unglaublich vielen Internet-angebundenen Geräten auf, so dass wir ständig Produkte kaufen, die diese Sicherheitsprobleme aufweisen“, so Janne Kauhanen, Experte für Cybersicherheit bei F-Secure. „Aber in diesem Fall müssen Angreifer zuerst zwischen Update-Server und Endbenutzer ansetzen, und dieser zusätzliche Schritt ist genug Arbeit, um viele opportunistische oder gering qualifizierte Angreifer zu entmutigen.“

Kauhanen berichtet allerdings von ähnlichen Sicherheitslücken, die in der Vergangenheit bereits aktiv von Hackern etwa für die Vorbereitung von Phishing-Kampagnen oder als Tarnung für langfristig angelegte Angriffe auf sensible Unternehmensdaten genutzt wurden. Anwender sollten, um sich im Fall von QNAP TVS-663 oder anderen Geräten mit der Firmware QTS 4.2 oder älter zu schützen, die automatische Überprüfung der Firmware-Updates deaktivieren und die Überprüfung manuell mit gesicherten Quellen durchführen.

[Mit Material von Martin Schindler, silicon.de]