QNAP: Deadbolt ist zurück, Update empfohlen

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.960
qnap-logo.jpg
QNAP kommt aktuell nicht zur Ruhe. Scheinbar haben zahlreiche Kriminelle NAS-Geräte als lukratives Ziel für Ransome-Angriffe ausgemacht. Bereits Ende Januar 2022 berichtete Hardwareluxx über Zwangspatches aufgrund einer Zero-Day-Schwachstelle in den Geräten. Dieses Szenario könnte nun auch wieder nötig sein. Laut Angaben des “QNAP Product Security Incident Response Team” werden NAS-Systeme mit den QTS-Versionen 4.3.6 sowie 4.4.1 momentan gezielt von der Deadbolt-Ransomware angegriffen. Aus diesem Grund fordert der Hersteller seine Nutzer erneut explizit dazu auf, die aktuelle Firmware einzuspielen.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Also wieder mal eine root Lücke. Wenn der Nutzer aktiv Updates anschieben muss und dies nicht extra konfiguriert hat läuft ja schon was falsch.
 
Also wieder mal eine root Lücke. Wenn der Nutzer aktiv Updates anschieben muss und dies nicht extra konfiguriert hat läuft ja schon was falsch.
Das problem ist einfach. Steve jobs hat erkannt dass die leute die ein orodukt benutzen für geeöhnlich nicht mal ansatzweise ahnung von der materie haben. Es klappt einfach. Genau dafür wurden moderne smartphones entwickelt.

Hier haben wir den fall wo der hersteller das nicht realisiert hat. Die denken nicht über den eigenen tellerrand hinaus.
 
Also wieder mal eine root Lücke. Wenn der Nutzer aktiv Updates anschieben muss und dies nicht extra konfiguriert hat läuft ja schon was falsch.
Ehh jein.. Über default Pflichtupdates wird ja auch gern gemeckert. Ein Hersteller kann da schwer alle glücklich machen :/
Bei Firmwareupdates für NAS kommt noch hinzu dass die ja nicht regelmässig runtergefahren werden.

Der Titel ist geringfügig irreführend. Es ist wohl die Selbe Lücke und man erinnert nur ans Updaten weil der Selbe Schädling erneut irgendwo zugeschlagen hat.
 
QNAP habe ich sowieso etwas auf dem Kieker.

Das TS-453A nervt mich jetzt schon länger mit Lockups beim Shutdown und aus dem Hibernate kommt es auch nicht mehr raus.

Gerade eben schon wieder am Resyncen des Raid und der einzige bekannte und alte Workaround scheint ein Downgrade der EC Firmware zu sein.

Ich glaube bei einem Neukauf würde ich aktuell von QNAP die Finger lassen.
 
Zuletzt bearbeitet:
Das problem ist einfach. Steve jobs hat erkannt dass die leute die ein orodukt benutzen für geeöhnlich nicht mal ansatzweise ahnung von der materie haben. Es klappt einfach. Genau dafür wurden moderne smartphones entwickelt.

Hier haben wir den fall wo der hersteller das nicht realisiert hat. Die denken nicht über den eigenen tellerrand hinaus.
Der Hersteller schaut schon über den Tellerrand.
Nur ist nen Gummelsmartphone etwas anderes als ein NAS.
Denn dein Iphone ist mit dir in ständiger Interaktion, mittels einer GUI.
Ein NAS hingegen tut das nicht.
Da greifst du z.B. nur mit SMB drauf und das war es dann.
Wie also soll dein NAS dich informieren, dass es ein Update gibt?
Denn das tut dein Smartphone 24/7 und mitunter auch sehr penetrant.

Einfach unattended durchdrüclen? Na herzliche Glückwunsch....
Es gab letztens einen Aufschrei, als man das gemacht hat, ja, durch QNAP initiiert.
Und auch zu recht. Ein IT-System hat nicht selbständig irgendwas irgendwie zu patchen.
QNAPs werden in nicht unwesentlichem Ausmaß produktiv/professionell genutzt.
Da macht niemand einfach so irgendwas.

Ein NAS ist, genauso wie ein Rechner, Switch, Router, Server und Weiteres ein IT-System. IT-Systeme müssen gewartet werden und dafür braucht es einen Plan und ja, auch @home.
Und ja, das ist kein DAU-kompatibler Ansatz.
Daher sollten wir ggf. dafür plädieren, dass wir den Straftatbestand von ungewarteten IT-Systemen einführen.
Das wäre ein Spaß. Wie, schlechte Idee?
Tja, einen Tod muss man sterben. Und lernen durch Schmerzen ist ein probates Mittel des Erkenntnisgewinns.

Des Weiteren laufen auf nem Gummelsmartphone keine autarken produktiven Anwendungen. (gibt bestimmt ein paar Tiefflieger, die machen das)
Merke, ein NAS ist kein Gummelsmartphone und ist daher auch anders zu betrachten.
 
Zuletzt bearbeitet:
Das Problem ist einfach das Qnap das scheinbar nicht auf die Reihe bekommt.
Synology hat solche Probleme so gut wie garnicht. Dabei gefällt mir persönlich das Qnap Betriebssystem *QTS* viel besser mit den Virtuellen Switchen und co..

Das mit den vielen Lücken ist momentan auch der Grund warum ich momentan nicht so Qnap Systeme empfehlen werde.
 
@underclocker2k4 Du bringst mir da eine Idee..
Theoretisch könnte Qnap eine Smartphone app bringen welche auf Updates hinweist und dessen Installation für die Ersteinrichtung des NAS notwendig ist (um sicher zu gehen dass Leute sie installieren). Bluetooth Module sind heute ja billig.
Das wäre dann mal ein "DAU kompatibler" Ansatz.
 
Gehen tut da vieles. Dazu braucht es nichtmal Bluetooth.
Es würde ja schon reichen, wenn man das Ding per eMail an den DAU anbindet.
Auch eine DesktopAPP, genauso wie eine GummelphoneApp wären denkbar.
Die Hersteller haben doch eh schon für jeden Furz ne App.
Wer z.B. seinen Rechner sync, der hat eine SyncApp, das gleiche fürs Smartphone, das kann man auch als single point of contact für den User nutzen.
Kann...
Aber auch da steht und fällt es damit, dass der Kunde das eben auch nutzt. Wer nur via SMB draufgeht, da gehts halt nicht.
App-Zwang? Naja, auch schwierig.
Es ist eben nicht alles sw/ws.
 
oh toll noch eine Spyware die ich nur bekomme wenn ich die Spyware von einem US Konzern installiere. Habt ihr noch mehr verrückte Ideen?

Produktivsysteme sind auch kein Problem. Da sollte ein gewisser Umfang an Kompetenz erwartet werden können. Der Rest ist durch automatische Updates deutlich besser dran. Da sind wir dann auch bei Funktionen wie wir sie von den Smartphones kennen. Zwangsupdates sind der absolut falsche Weg aber das Thema Sicherheit muss dann eben bei der Einrichtung vernünftig betrachtet werden.
 
verrückte Ideen...
Wie wäre es, wenn man mehr in die Schulung der Anwender investiert?
Aber dank Smartphone haben viele kein Bock - einfach alles hinstellen, läuft schon.

btw. kann die Lücke ja nur ausgenutzt werden, wenn das Gerät direkt aus dem Internet erreichbar ist, oder irre mich da?
Wer sowas betreibt, hat ja eigentlich auch nix anderes verdient.
 
Zwangs App bei Einrichtung? Einfache Entscheidung, Hersteller wird nicht gekauft. Bau ich wieder selber.

Automatische Updates? Eines der ersten Dinge die ich deaktiviere. Warum ist auch ganz einfach, Updates laufen nicht immer sauber, und vor nem Update lass ich nochmal ein seperates Backup laufen.

btw. mein Gerät ist mit dem Internet verbunden und nen Teil auch erreichbar, weil ich das für einige Anwendungen brauche. Habe ich es jetzt verdient angegriffen zu werden? @konfetti
 
Qnap 4.4.1 ist vom Oktober 2019.... :rolleyes2:
Wenn jemandzu faul ist in 2 Jahre mal zu patchen kann man wohl kaum den Hersteller dafür belangen. Was eigentlich als NAS geplant ist übernimmt immer mehr Aufgaben und wird aus Gründen der Verfügbarkeit & Bequemlichkeit immer weiter ins Netz geöffnet, gleichzeitig nimmt die Komplexität des Themas immer weiter zu. Viele Sicherheitslücken betreffen herstellerübergreifend diverse Protokolle/Dienste bzw. das dahinter liegende Linux direkt. Deswegen würde ich pauschal Synology auch nicht als sicherer als Qnap ansehen.
 
Zwangs App bei Einrichtung? Einfache Entscheidung, Hersteller wird nicht gekauft. Bau ich wieder selber.

Automatische Updates? Eines der ersten Dinge die ich deaktiviere. Warum ist auch ganz einfach, Updates laufen nicht immer sauber, und vor nem Update lass ich nochmal ein seperates Backup laufen.

btw. mein Gerät ist mit dem Internet verbunden und nen Teil auch erreichbar, weil ich das für einige Anwendungen brauche. Habe ich es jetzt verdient angegriffen zu werden? @konfetti
kommt drauf an ob Du es verdient hast - hast Du das System, das frei aus dem Netz erreichbar ist abgesichert? - aktuell gehalten? - dann sicher nicht - ZeroDays sind da auch nicht die Schuld der User
aber man kann eben auch dafür sorge tragen, das ein System nicht frei von außen erreichbar ist, sondern nur die benötigten Dinge - ggf. auch Portumleitungen nutzen - die klassischen Best Practices halt.

Wenn man aber sorglos das NAS an der Fritte als Exposed Host einstellt, dann gehört es einem eben nicht anders.

Ich habe auch ein paar Dienste, die aus dem Netz erreichbar sind, aber dafür nutz ich halt auch eine entsprechende Firewall und ggf. VPN.

Und wie @mawel schon sagt, wer sowas altes nutzt, obwohl es Updates gibt, dem kann man nicht helfen. Wenn keine Updates mehr verfügbar sind, sieht das anders aus, aber dann muss man sich auch selbst um die Systemsicherheit kümmern - ist mit den ganzen XP und W7 Systemen (oder gar W95) in Firmen ja nichts anderes...
 
Eine Lösung wäre doch:
- 3x im Abstand von 2 Wochen eine Erinnerung schicken, dass ein Update bereit steht und installiert werden KANN (mit der Option dies auf der NAS Oberfläche zu schieben, dann startet der Counter wieder von 1)
- Wenn nach der 3. KANN E-Mail nicht reagiert und installiert wird, WIRD das Update per Zwangsupdate eingespielt

Dann hat jeder 6 Wochen Zeit sich darum zu kümmern und kann nicht den Hersteller dafür belangen, dass was fehlgeschlagen war beim Update. Und 6 Wochen ist nun wirklich eine angemessene Zeitspanne.
 
Eine Lösung wäre doch:
- 3x im Abstand von 2 Wochen eine Erinnerung schicken, dass ein Update bereit steht und installiert werden KANN (mit der Option dies auf der NAS Oberfläche zu schieben, dann startet der Counter wieder von 1)
- Wenn nach der 3. KANN E-Mail nicht reagiert und installiert wird, WIRD das Update per Zwangsupdate eingespielt

Dann hat jeder 6 Wochen Zeit sich darum zu kümmern und kann nicht den Hersteller dafür belangen, dass was fehlgeschlagen war beim Update. Und 6 Wochen ist nun wirklich eine angemessene Zeitspanne.
Mal ein Beispiel von tollen Updates.

Update war 8 Wochen draußen (kein NAS System, sondern ein Produktivs System) Dann hat der Hersteller das Update für über ein Monat zurückgezogen wegen Fehlern. Wer es installiert hatte, pech gehabt.

Zwangsupdates sind in meinen Augen ein 2 schneidiges Schwert. Wenn es gut geht ok, wenn es aber in die Hose geht, dann auch gleich bei allen.

Mag das schon nicht bei Smartphones, da es oft die Grundeinstellung ist Updates sofort zu installieren. Installiert sich immer im unpassensten Moment

@konfetti

Ja mein NAS ist abgesichert und nicht offen wie ein Scheunentor.

Gibt aber genug Menschen die den Herstellern glauben und es nicht für nötig halten.

Ich halte meine Geräte meistens auch auf dem neuesten Stand, bei meiner Synology war das Update auf 7.0 z.B. ein Fehler. Funktionen gibt es nicht mehr, die mein ganzes System getört haben, alternativen suche ich teilweise bis heute noch.
 
Die Idee gab es zu dem Zeitpunkt zurückzugehen, aber durch ein weiteres Automatisches Update wurde auch auf 6.2 die funktion gekillt.

Mitlerweile wird sie btw. wieder eingebaut
 
@underclocker2k4 Du bringst mir da eine Idee..
Theoretisch könnte Qnap eine Smartphone app bringen welche auf Updates hinweist und dessen Installation für die Ersteinrichtung des NAS notwendig ist (um sicher zu gehen dass Leute sie installieren). Bluetooth Module sind heute ja billig.
Das wäre dann mal ein "DAU kompatibler" Ansatz.

Es gibt doch den QNAP Manager. Der ist zwar ein wenig klobig. Aber so fahre ich immer meine Updates drauf. Mann muss aber immer noch selber nachsehen ob das Update schon da ist.
Das ganze läuft aber eher über WLAN statt Bluetooth.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh