Zero-Day-Schwachstelle im QNAP-NAS wird aktiv ausgenutzt

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.960
qnap-logo.jpg
Bereits in der Vergangenheit gab es Meldungen über Sicherheitslücken bei NAS-Geräten vom Hersteller QNAP. Unter anderem sorgte der Krypto-Miner "oom_reaper" für Probleme. Hier gab QNAP unter anderem den Hinweis, dass man den NAS nicht offen ins Internet stellen soll.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich hab vor einigen Tagen in der Fritzbox für das QNAP komplett den Internetzugriff gesperrt, alle paar Tage kommen neue Hiobsbotschaften mit Schwachstellen.

Gefühlt ist es so, dass seit Release von QTS 5 es ständig neue Sicherheitslücken gibt, die ausgenutzt werden, vorher war das doch deutlich seltener der Fall.
 
Einfach nicht bei seinem Nas die Ports öffnen und nur über VPN verbinden. Ein User hier aus dem Forum hats erwischt alle Daten wurden verschlüsselt. Er konnte alle Festplatten Formatieren und das Nas neu aufsetzen. Leider hatte er scheinbar auch sein Nas zum Internet hin geöffnet, obwohl ich ihm schrieb nur über VPN. Den VPN hatte ich ihn sogar eingerichtet. Jetzt bin ich wieder leicht am helfen, habe aber zurzeit einfach kaum/keine Zeit.
 
Einfach nicht bei seinem Nas die Ports öffnen und nur über VPN verbinden. Ein User hier aus dem Forum hats erwischt alle Daten wurden verschlüsselt. Er konnte alle Festplatten Formatieren und das Nas neu aufsetzen. Leider hatte er scheinbar auch sein Nas zum Internet hin geöffnet, obwohl ich ihm schrieb nur über VPN. Den VPN hatte ich ihn sogar eingerichtet. Jetzt bin ich wieder leicht am helfen, habe aber zurzeit einfach kaum/keine Zeit.
Ist mir auch passiert mit der Ransomware Attacke im letzten Jahr. Hatte das Teil auch offen am Netz hängen, also quasi selber schuld. Jetzt hab ich mit VPN meinen Seelenfrieden.
 
Hatte das Teil auch offen am Netz hängen,

Offen am netz = extra ports geöffnet, damit von extern zugegriffen werden kann oder einfach nur ohne weitere Konfiguration Internetzugriff (so dass App Updates/QTS Updates installiert werden können)?
 
Zuletzt bearbeitet:
Ein User hier aus dem Forum hats erwischt alle Daten wurden verschlüsselt. Er konnte alle Festplatten Formatieren und das Nas neu aufsetzen.
Was nicht nötig gewesen wäre, wenn er eine aktuelle Datensicherung gehabt hätte.
Dann hätte er die verschlüsselten Daten aus der Datensicherung wiederherstellen können.
Ein NAS offen ins INternet zu stellen ist abgesehen davon immer eine schlechte Idee.
 
Genau, dafür nutzt man einen extra Server, der über einen extra Kanal auf die Daten im NAS zugreift.
Ein NAS ist ein NAS und kein flull fleged Server mit VPN Server, Wolke, SIP und was weiß ich noch alles.
Wäre schön, wenn sich die beiden großen Hersteller mal darauf zurück besinnen würden und den ganzen Plugin-Kram in eigene Hardware auslagern würden.
 
Könnte man diese Verschlüsselung denn nicht einfach mit einem Snapshot rückgängig machen? Oder werden die Snapshots auch gelöscht?
 
Wenn die Kiste kompromittiert wurde brauchst du nichtmehr davon ausgehen, dass irgendwelche Daten auf dem Ding ueberleben.

Bin da auch @Weltherrscher 's Meinung: Das Zeug geheort nicht ans WAN und die Schuster sollten bei ihren Leisten bleiben.
 
Plex wurde kompromittiert?

... ich hab den nämlich auch noch offen (Port 32400 für Plex auf Debian, nicht QNAP) und "nur" mit 2FA geschützt ... :oops:

(alles andere nur per VPN=wireguard)
Jep, Plex war offen, aber ich hatte das NAS auch per myQnap Cloud und deren DNS am Netz. Dort gab es ja auch Sicherheitsprobleme. Irgendwie sind sie jedenfalls draufgekommen.

Jetzt hab ich auch per PiVPN und Wireguard zu. Trotzdem... wenn man es als Hersteller nicht schafft, solche Lücken zu stopfen, sollte man diese Features vielleicht einfach gar nicht erst anbieten. So tut man sich und seinen Kunden doch keinen Gefallen.
 
Plex wurde kompromittiert?

... ich hab den nämlich auch noch offen (Port 32400 für Plex auf Debian, nicht QNAP) und "nur" mit 2FA geschützt ... :oops:

(alles andere nur per VPN=wireguard)
Nein.
Aber wozu muss Plex raustelefonieren, wegen Streaming unterwegs?
In Zeiten von Wireguard sollte das nicht mehr so sein.

//Edith:
Die Rede ist natürlich von rein privatem Streaming.
Sobald da noch andere involviert sind (bei mir der Mailserver und die Wolke) kannst Wireguard natürlich vergessen (DAU-Faktor einfach zu hoch)...
 
Relikt aus vor-wireguard Zeiten.

Würde relevant, wenn ich Freunden/Familie Zugriff geben wollte (die nutzen aber offenbar alle schon bezahltes streaming).

Ich stelle das am WE Mal ab ...
 
Jep der löscht die Snapshots. Deswegen die Snapshots immer backupen auf eine externe, dann kannst auch alles wiederherstellen.
 
Was nicht nötig gewesen wäre, wenn er eine aktuelle Datensicherung gehabt hätte.
Dann hätte er die verschlüsselten Daten aus der Datensicherung wiederherstellen können.
Ein NAS offen ins INternet zu stellen ist abgesehen davon immer eine schlechte Idee.
Basic Backup 1x1: MINDESTENS 2 Kopien auf 2 verschiedenen Medien.

Sich bloß auf die NAS zu verlassen ist
grob fahrlässig.
 
Basic Backup 1x1: MINDESTENS 2 Kopien auf 2 verschiedenen Medien.

Sich bloß auf die NAS zu verlassen ist
grob fahrlässig.
Basics, richtig.

Früher sagte man, das man als absolut kleinste Backupstrategie das Großvater-Vater-Sohn Prinzip nehmen soll:
Immer 3 Generationen Backups, das älteste Backup wird mit dem aktuellen Backup überschrieben.
Man braucht dafür mindestens 3 Backupmedien.
Hintergrund der Geschichte ist, das man immer noch die Vorgängergeneration verfügbar hat, falls das jüngste Backup fehlerhaft oder sogar gar nicht mehr lesbar ist.
Beispiel:
Ich mache gerade ein Backup, dabei gibt es einen Stromausfall, das alte Backup ist defekt und und/oder teilweise schon überschrieben.
Jetzt greife ich mir das vorhergehende Backup und stelle fest: Platte defekt, nicht mehr lesbar. Dann kann ich immer noch das 3. Backup nehmen.
 
Mal für mich dummy....Plex ist also auch schon zu "offen"? Ich mein das NAS nutz ich schon gerne dazu meine digitalisierten CDs über Plex unterwegs zu streamen, weils die Hälfte meines Krams nicht bei Tidal gibt. Wie kontrollier ich denn am geschicktesten ob alles andere soweit dicht ist. Macht es Sinn bei Plex einen anderen Port zu verwenden als Standard oder bringt das dann auch nix mehr.
 
Ein Kumpel von mir hats jetzt auch getroffen. Angeblich sind sie seiner Meinung nach über den VPN Port reingekommen. Er hatte das Nas nicht öffentlich gemacht bis auf VPN. "WireGuard"
Kann das sein ? Für alle anderen Anwendungen nutzt er ein anderes NAS was nicht betroffen ist.

Er schreibt auch das die News hier falsch wer: 5 btc für die Infos wo die Lücke ist, und 50 btc für den Generalschlüssel.
Quatsch 50 btc verlangen sie für Master-key.
5 btc für Info zur Schwachstelle.

Hat er da Recht ? Habe es nicht geprüft.
 
Zuletzt bearbeitet:
Angeblich sind sie seiner Meinung nach über den VPN Port reingekommen.
Ist er Sicherheitsforscher?
Konnte er den Schadcode analysieren um so eine Aussage zu treffen oder woher diese Info?
 
Habe ich nicht geschrieben oder ? Er vermutet es, weil er eben keine anderen Ports usw offen hatte.

Ich zitier ihn einmal was er mir geschrieben hat: Habe ihn vorher gefragt ob ich das darf.
Ahhah und stell dir vor wo die Lücke war. VPN über den fucking VPN vom NAS sind die rein gekommen. Hahha so wegen VPN und Sicherheit.
Ich hab aber kein Port mehr offen gehabt und auch im Router war unpn deaktiviert.
Wie gesagt Qnap ist auf dem holzweg, mein Gerät war nur über VPN gegen aussen erreichbar.
Das hat zu 100% was damit zu tun, weil schau mal die haben den in der app vorläufig abgeschalten.

Kann nur schreiben was ein Kumpel der auch in der IT arbeitet vermutet. Sein Qnap ist halt betroffen obwohl es nicht von außen erreichbar war bis auf VPN.
 

Anhänge

  • unknown.png
    unknown.png
    18,4 KB · Aufrufe: 122
Zuletzt bearbeitet:
Versteh ich deinen Kumpel richtig, anstatt das NAS vom Internet zu trennen, hat er den integrierten VPN Dienst genutzt und damit die Kiste weiterhin im Netz gehabt obwohl QNAP gesagt hat, das man alle Geräte nicht von extern erreichbar machen soll?
 
Er hatte es generell nicht im Netz freigeben. Und Qnap meint damit die Ports für die Qnap Dienste: MyQnap usw... Musik Station, Photo Station, alle wollen normal offene Ports im Router.

Selbst hier in der News steht:

Alternativ lässt sich mithilfe einer VPN-Verbindung der Zugriff auf den Netzwerkspeicher realisieren.

Und das war wie geschrieben bei ihm das einzige was gelaufen ist damit er verschlüsselt auf sein Nas von außen "Arbeit" kommt.

Bei mir läuft auch nur noch alles über VPN, habe aber kein Qnap Nas mehr. Alles Selbstbau.

Er hatte aber Glück, wie es sich gehört: Und das sollte auch jeder machen den seine Daten wichtig sind.

Man bin ich froh das ich alles Backupt habe oder besser noch ein zweites Nas habe wo alles noch drauf ist.
Darum kann ich das ganz easy ansehen, muss jetzt halt alle Festplatten ausbauen und in Pc einbauen und komplett löschen und halt alles neu aufsetzen.
 
Es gibt absolut keine Informationen darüber welche Funktionen genau für den Angriff genutzt werden, es gibt Spekulationen zu ZeroDays, BruteForce oder älteren SecVul in der Firmware/Software. Es scheint sogar so akut zu sein das QNAP ein Firmware Update pusht selbst wenn AutoUpdate deaktiviert ist und dein Kumpel denkt immer noch es wäre intelligent die Kiste von extern erreichbar zu machen. Natürlich ist es generell im Netz freigegeben, der QNAP VPN Dienst muss über eine Portweiterleitung von extern erreichbar sein sonst hat er keine Funktion.

Der Hinweis in der News ist aber nicht das man den VPN Dienst des gefährdeten Gerätes nutzen soll sondern einen seperaten Sicherheitslayer in Form von VPN benutzen soll.
 
Ja das schon, deswegen geht er davon aus dass sie über den VPN reingekommen sind wie oben geschrieben. Es war der einzige Port der offen war.

Das wer meiner Meinung nach auch sehr schlau, keiner geht davon aus das sie über den VPN Port einbrechen. Beispielweise nutzen ie irgendein Port der offen ist, man weiß ja nicht wie sie reingekommen sind.
 
Sie brechen nicht "über" VPN ein, sie erhalten eine Rückmeldung auf einen Netzwerkport eines ungesicherten Gerätes. Es könnte zum Beispiel sein das es ähnlich wie bei Log4J ist und das selbst ein Log-Eintrag mit Payload zu einem erfolgreichen Hack führt, da ist es egal welcher Dienst läuft solange er von extern erreichbar ist.
 
Ich meine ja auch den Port und nicht den Dienst selber. (y)
 
Der Port ist aber egal und hat nichts mit Schlau oder ähnlichem zu tun, ein PortScan einer IP, selbst wenn man die komplette PortRange nimmt dauert nur ein paar Sekunden, einen Bruchteil davon wenn man die normalen RFC Ports ohne Highports nimmt auf denen die meisten Services laufen. Es war einfach nicht klug von deinem Kumpel irgendeinen Port zu öffnen in der derzeitigen Situation.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh