Kritische Schwachstellen bei QNAP NAS

    Wer ein QNAP NAS nutzt sollte bitte mal deren aktuelle Softwareversion installieren.

    Scheinbar werden dort mehrere kritische Schwachstellen geschlossen die zu einer kompletten Übernahme des Gerätes führen können:

    Vulnerability in QTS, Multimedia Console, and Media Streaming add-on - Security Advisory
    QNAP entwickelt und liefert hochqualitative Network Attached Storage Systeme (NAS) und professionelle Netzwerk Video Rekorder (NVR) für Anwendungen im…
    www.qnap.com
    Vulnerability in QTS, QuTS hero, and QuTScloud - Security Advisory
    QNAP entwickelt und liefert hochqualitative Network Attached Storage Systeme (NAS) und professionelle Netzwerk Video Rekorder (NVR) für Anwendungen im…
    www.qnap.com
    Vulnerability in QTS, QuTS hero, and QuTScloud - Security Advisory
    QNAP entwickelt und liefert hochqualitative Network Attached Storage Systeme (NAS) und professionelle Netzwerk Video Rekorder (NVR) für Anwendungen im…
    www.qnap.com
    Vulnerability in Music Station - Security Advisory
    QNAP entwickelt und liefert hochqualitative Network Attached Storage Systeme (NAS) und professionelle Netzwerk Video Rekorder (NVR) für Anwendungen im…
    www.qnap.com


    Sicherheitsupdates QNAP: Angreifer können eigene Befehle auf NAS ausführen
    Wichtige Sicherheitspatches sichern Netzwerkspeicher von QNAP ab. Unbefugte können Daten einsehen.
    www.heise.de

    Die Meldungen sind vom 04.11.23.

    Die Softwareversionen mit fixes wurden aber schon seit dem April bis September ausgerollt, so interpretiere ich das über die Build Dates.

    Die Fehler waren sicher schon sehr lange bei QNAP bekannt. Und die OS Updates sind schon ne Zeitlang draussen so das viele Geräte mit Autoupdate wohl das Update schon haben.

    Ich geh mal davon aus die Meldung ist eher für alle die die Autoupdates ausgeschaltet haben etc.

    Du müsstest nach deiner Softwarerevision gucken bzw. dem eingesetzten Produkt um sicher zu sein ob du die gefixte Variante hast.

    Alles ein Alter Hut und es wird nicht wirklich dran gearbeitet.

    unRaid auf dem QNap NAS ist eine schöne alternative um die Probleme zu umgehen

    Externer Inhalt peer2profit.co
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

    Brauchst nur Googlen da gibt es tonnenweise anleitungen für, zum Beispiel die hier:

    How to Install UnRAID on a QNAP NAS - A Step by Step Guide
    How to Install UnRAID on a QNAP NAS Drive in 15mins Of all the different Network Attached Storage software that is discussed online, one the most unsung…
    nascompares.com

    Funktioniert halt nur mit den x86 QNAP, die auch nen Anschluss für nen Monitor haben, und klar alle Daten auf den Platten gehen dabei verloren.

    Unraid ist halt schon recht abgespeckt, wenn man es nicht mit Dockern etc. vollpackt. Das performed dann auch auf nem NAS mit kleiner x86 CPU und 2GB Ram gut.

    Und bevor man denkt "Uh....das hat ja ne Severity von 9.0 oder 9.8" und "mein QNAP ist ja so unsicher"....

    Die beiden CVE mit der Severity 9.0 (https://www.cvedetails.com/cve/CVE-2023-23369/) und 9.8 (https://www.cvedetails.com/cve/CVE-2023-23368/) sind sogenannte "OS command injections" oder auch "shell injections", die dann eine RCE (remote code execution) eröffnen. Um zu verstehen, was das macht:

    What is OS command injection, and how to prevent it? | Web Security Academy
    In this section, we explain what OS command injection is, and describe how vulnerabilities can be detected and exploited. We also show you some useful ...
    portswigger.net

    Ich will damit nicht sagen, dass man das nicht updaten sollte. Ganz im Gegenteil. Vulns müssen gefixt werden, wenn ein Fix dafür vorliegt.

    Ich will damit nur sagen, dass:

    • solange ihr euer NAS nicht "von außen" erreichen könnt, ihr erstmal halbwegs safe seid
    • solange sich nicht wildfremde Menschen, denen ihr nicht vertraut, in eurem Netzwerk bewegen, ihr halbwegs safe seid
    • solange niemand außer euch irgendeine Art von GUI (abgesehen von der Anmeldemaske) auf dem NAS erreichen kann, ihr halbwegs safe seid

    Beide CVEs haben eine "Probability of exploitation activity in the next 30 days" (also wie wahrscheinlich es ist, dass diese Exploit in den nächsten 30 Tagen ausgenutzt wird) von 0,04%.


    Zitat von Cineologe

    unRaid auf dem QNap NAS ist eine schöne alternative um die Probleme zu umgehen

    Ich würde es genau anders halten. UnRaid bietet dir die Möglichkeit etliche Docker zu installieren. Auch eigene. Und das System ist nur so sicher, wie die Dienste, die du darauf betreibst. Informierst du dich nicht über die Dienste, und hälst diese nicht aktuell, dann bist du mit UnRaid genauso unsicher wie mit allem anderen auch ;)

    UnRaid ist also nicht das "Heilmittel". Wenn ich in UnRaid ein Mediawiki als Docker installiere, wo nachher das Mediawiki ein CVE hat, dann kann ich potentiell schon mal dort ausbrechen. Dann bin ich vielleicht im Docker selbst. Die meisten Docker laufen intern als "root" und haben Volumes vom Host-System gemountet, damit die Daten nicht verloren gehen. Bin ich also in dem Docker, und der User hat die Volumes schlecht gemountet, dann besteht auch dort eine entsprechende Sicherheitslücke um auf Daten des Systems zugreifen zu können.

    QNAP bietet seine Addons wenigstens aus seinem Store an. Und ja...diese Versionen sind auch teilweise veraltet oder fallen irgendwann aus dem Support weil QNAP natürlich gern irgendwann ein neues NAS verkaufen möchte. Daher ist UnRaid da schon etwas flexibler, da man nicht zwingend auf das Plugin-System von UnRaid angewiesen ist bzw. UnRaid kein Geld mit der Hardware verdient. Die verkaufen nur ihre Lizenzen und das einmalig für alle Versionen.

    Da aber bei manchen das Verständnis, wie anfällig Docker sein können, fehlt weil sie es nicht täglich einsetzten, wäre ich mit der Aussage "Nimm UnRaid und du hast keine Sorgen mehr" ein wenig Vorsichtig ;) . Da kommt es ein wenig darauf an, ob die Leute wissen, was sie tun ;)

    @DaVu

    Nur hast du die Möglichkeit alles aktuell zu halten und musst nicht Jahre auf fixen von Problemen warten.

    Bitte nicht ein kann und ist mit einander vermischen! ;)

    Man kann sich alles schön oder auch schlecht Reden.

    hier geht es nicht um Fanboy Aussagen sondern um Tatsachen die von mir nicht angesprochen worden aber Dir anscheinend bekannt sind.

    Sei es drum, werdet glücklich....... mir ist es gleich.

    Wenn man die Kisten aus dem Netz nimmt und sie als Backup Station oder FileServer nimmt, dann sind sie super. Aber veraltete Pakete im Appstore und beschriebene Möglichkeiten sprechen nicht für sich.

    Externer Inhalt peer2profit.co
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden