F-Secure warnt vor Schwachstelle in NAS von Qnap

Martin Schindler,
f-secure (Bild: F-Secure)

Angreifer können auf den NAS-Storage-Systemen von Qnap auf Daten wie Passwörter zugreifen, oder betroffene Systeme übernehmen, warnt F-Secure. Schätzungsweise sind mindestens 1,4 Millionen Geräte betroffen. Das Leck ist symptomatisch für Probleme vieler vernetzter Geräte.

Das NAS-System TVS-663 von Qnap weist laut einer Mitteilung von F-Secure Labs drei Sicherheitslecks auf. Über eine geschickte Kombination dieser an sich noch nicht gefährlichen Lecks in dem Network Attached Storage von Qnap Systems können Angreifer jedoch die Kontrolle über diese Geräte erlangen. Der finnische Sicherheitsspezialist warnt, dass Millionen von Geräten und damit großen Mengen an privaten Daten betroffen sein können.

Laut F-Secure soll es über die Schwachstellen in dem NAS-Gerät TVS-663 möglich sein, über den Firmware-Update-Prozess des Geräts administrative Rechte zu erlangen. Damit würde der Angreifer die gleiche Kontrolle über das Gerät erlangen, wie ein legitimer Administrator. Die Angreifer könnten dadurch unbehelligt Malware installieren, auf Inhalte und Daten zugreifen, Passwörter stehlen und sogar Befehle per Remote ausführen.

Über die Kombination mehrer kleiner Sicherheitslücken war der F-Secure-Sicherheitsberater Harry Sintonen in der Lage, die Vollständige Kontrolle über ein NAS-Gerät von QNAP zu übernehmen. (Bild: F-Secure)
Über die Kombination mehrer kleiner Sicherheitslücken war der F-Secure-Sicherheitsberater Harry Sintonen in der Lage, die Vollständige Kontrolle über ein NAS-Gerät von Qnap zu übernehmen. (Bild: F-Secure)

Harry Sintonen, Senior Security Consultant bei F-Secure, entwickelte ein Proof-of-Concept, in dem er zeigt, wie sich diese Schwachstellen ausnutzen lassen. “Viele dieser Arten von Schwachstellen sind für sich allein nicht gefährlich. Angreifer, die in der Lage sind, sie zusammenzubringen, können jedoch eine massive Gefahr herbeiführen”, sagte Sintonen.

Sintonen konnte mit dem Beispiel-Hack zeigen, dass das Gerät beim Starten unverschlüsselte Anfragen für Firmware-Updates an das Unternehmen zurücksendet. Die mangelnde Verschlüsselung ermöglicht es potenziellen Angreifern, die Antwort auf diese Anfrage abzufangen und zu modifizieren. Sintonen nutzte diese Schwäche aus, um einen als Firmware-Update getarnten Exploit in das Gerät einzuschleusen.

Als Firmware-Update getarnte Malware aber wird von dem Gerät als legitime Aktualisierung erkannt und das Gerät versucht, diese automatisch zu installieren. Tatsächlich wird aber kein Update installiert. Sintonen war laut eigenen Angaben in der Lage, über einen weiteren Fehler im Prozess das gesamte System zu kompromittieren.

Sintonen zufolge, ist das Stehlen oder Ändern von Daten für einen Angreifer, der in der Lage ist, diese Schwachstellen so auszunutzen, sehr einfach. “Es ist nur erforderlich, dem Gerät zu sagen, dass eine neuere Version der Firmware bereitsteht. Da die Update-Anforderung ohne Verschlüsselung erfolgt, ist dies nicht sehr schwer. Danach kann der Angreifer im Grunde alles tun, was er will.”

Exklusive Markteinschätzungen

Mehr vom Team der deutschen Gartner-Analysten

Das Team der deutschen Gartner-Analysten bloggt für Sie auf silicon über alles, was die IT-Welt bewegt. Mit dabei sind Christian Hestermann, Frank Ridder, Bettina Tratz-Ryan, Christian Titze, Annette Zimmermann, Jörg Fritsch und Hanns Köhler-Krüner.

zum Gartner-Blog bei silicon.de »

Während Sintonen seine Untersuchung auf das Qnap TVS-663 beschränkte, vermutet er, dass Modelle, die dieselbe Firmware verwenden, dieselben Probleme aufweisen könnten. Auf dieser Grundlage schätzt Sintonen, dass über 1,4 Millionen Geräte anfällig sein könnten, wobei die Zahl tatsächlich noch höher sein könnte. “Wir haben Firmware-Versionen untersucht, die derzeit verwendet werden. Aber da viele Anwender Firmware nie aktualisieren, könnte die tatsächliche Zahl noch deutlich höher sein”, spekuliert Sintonen.

F-Secure hat QNAP Februar 2016 über diese Probleme informiert, wie es in einer Mitteilung heißt. Bislang ist F-Secure Labs nicht bekannt, ob QNnap die Probleme behoben hat. Aber ohne einen Patch seitens des Herstellers sehen die Sicherheitsexperten keine Möglichkeit, diese NAS-Geräte abzusichern.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

zum Artikel bei ZDNet.de »

“Probleme treten bei unglaublich vielen Internet-angebundenen Geräten auf, so dass wir ständig Produkte kaufen, die diese Sicherheitsprobleme aufweisen”, so Janne Kauhanen, Experte für Cybersicherheit bei F-Secure. “Aber in diesem Fall müssen Angreifer zuerst zwischen Update-Server und Endbenutzer ansetzen, und dieser zusätzliche Schritt ist genug Arbeit, um viele opportunistische oder gering qualifizierte Angreifer zu entmutigen.”

Kauhanen berichtet jedoch von ähnlichen Schwachstellen, die in der Vergangenheit bereits aktiv von Hackern etwa für die Vorbereitung von Phishing-Kampagnen oder als Tarnung für langfristig angelegte Angriffe auf sensible Unternehmensdaten. Um sich im Fall von QNAP TVS-663 oder anderen Geräten mit der Firmware QTS 4.2 oder älter zu schützen, sollten Anwender die automatische Überprüfung der Firmware-Updates deaktivieren und die Überprüfung manuell mit gesicherten Quellen durchführen.