NAS-System von Qnap weist laut F-Secure-Warnung Sicherheitslecks auf

Laut einer Mitteilung von F-Secure Labs weist das NAS-System TVS-663 von Qnap drei Schwachstellen auf. Angreifen können über eine geschickte Kombination dieser an sich noch nicht gefährlichen Lecks in dem Network Attached Storage von Qnap Systems allerdings die Kontrolle über diese Geräte erlangen. F-Secure warnt, dass Millionen von Geräten und so großen Mengen privater Daten betroffen sein können.

Dem finnischen Sicherheitsspezialisten zufolge soll es über die Sicherheitslücken in dem NAS-Modell TVS-663 möglich sein, über den Firmware-Update-Prozess des Geräts administrative Rechte zu erlangen. Ein Angreifer würde wie ein legitmer Administrator so die gleiche Kontrolle über das Gerät. Er hätte so die Möglichkeit, unbehelligt Malware zu installieren, auf Inhalte und Daten zuzugreifen, Passwörter zu stehlen und sogar Befehle per Remote auszuführen.

Über die Kombination mehrer kleiner Sicherheitslücken war der F-Secure-Sicherheitsberater Harry Sintonen in der Lage, die Vollständige Kontrolle über ein NAS-Gerät von Qnap zu übernehmen. (Bild: F-Secure)

In einem von ihm entwickelten Proof-of-Concept demonstriert Harry Sintonen, Senior Security Consultant bei F-Secure, wie sich diese Sicherheitslücken ausnutzen lassen. „Viele dieser Arten von Schwachstellen sind für sich allein nicht gefährlich. Angreifer, die in der Lage sind, sie zusammenzubringen, können jedoch eine massive Gefahr herbeiführen“, sagte Sintonen.

Mit dem Beispielhack konnte Sintonen zeigen, dass das Gerät beim Starten unverschlüsselte Anfragen für Firmware-Updates an das Unternehmen zurücksendet. Die mangelnde Verschlüsselung erlaubt es möglichen Angreifern, die Antwort auf diese Anfrage abzufangen und zu modifizieren. Sintonen nutzte diese Lücke aus, um einen als Firmware-Update getarnten Exploit in das Gerät einzuschleusen.

Das Gerät erkennt aber als Firmware-Update getarnte Malware als legitime Aktualisierung und versucht, diese automatisch zu installieren. Tatsächlich wird aber kein Update installiert. Sintonen war laut eigenen Angaben in der Lage, über einen weiteren Fehler im Prozess das gesamte System zu kompromittieren.

Das Stehlen oder Ändern von Daten ist Sintonen zufolge für einen Angreifer, der in der Lage ist, diese Schwachstellen so auszunutzen, sehr einfach. „Es ist nur erforderlich, dem Gerät zu sagen, dass eine neuere Version der Firmware bereitsteht. Da die Update-Anforderung ohne Verschlüsselung erfolgt, ist dies nicht sehr schwer. Danach kann der Angreifer im Grunde alles tun, was er will.“

Sintonen beschränkte seine Untersuchung auf das Qnap TVS-663, er vermutet jedoch, dass Modelle, die dieselbe Firmware verwenden, dieselben Probleme aufweisen könnten. Demnach schätzt er, dass über 1,4 Millionen Geräte anfällig sein könnten, wobei die Zahl tatsächlich noch höher sein könnte. „Wir haben Firmware-Versionen untersucht, die derzeit verwendet werden. Aber da viele Anwender Firmware nie aktualisieren, könnte die tatsächliche Zahl noch deutlich höher sein“, spekuliert Sintonen.

Wie es in einer Mitteilung heißt, hat F-Secure QNAP im Februar 2016 über diese Probleme informiert. Ob QNnap die Probleme behoben hat, ist F-Secure Labs bislang nicht bekannt. Aber ohne einen Patch seitens des Herstellers sehen die Sicherheitsexperten keine Möglichkeit, diese NAS-Geräte abzusichern.

„Probleme treten bei unglaublich vielen Internet-angebundenen Geräten auf, so dass wir ständig Produkte kaufen, die diese Sicherheitsprobleme aufweisen“, so Janne Kauhanen, Experte für Cybersicherheit bei F-Secure. „Aber in diesem Fall müssen Angreifer zuerst zwischen Update-Server und Endbenutzer ansetzen, und dieser zusätzliche Schritt ist genug Arbeit, um viele opportunistische oder gering qualifizierte Angreifer zu entmutigen.“

Loading ...

Kauhanen berichtet allerdings von ähnlichen Sicherheitslücken, die in der Vergangenheit bereits aktiv von Hackern etwa für die Vorbereitung von Phishing-Kampagnen oder als Tarnung für langfristig angelegte Angriffe auf sensible Unternehmensdaten genutzt wurden. Anwender sollten, um sich im Fall von QNAP TVS-663 oder anderen Geräten mit der Firmware QTS 4.2 oder älter zu schützen, die automatische Überprüfung der Firmware-Updates deaktivieren und die Überprüfung manuell mit gesicherten Quellen durchführen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[Mit Material von Martin Schindler, silicon.de]

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

1 Tag ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

4 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

5 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

5 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

5 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

6 Tagen ago