HWL News Bot
News
Thread Starter
- Mitglied seit
- 06.03.2017
- Beiträge
- 113.867
... weiterlesen
Zero-Day-Schwachstelle im QNAP-NAS wird aktiv ausgenutzt
- Ersteller HWL News Bot
- Erstellt am
... weiterlesen
Ich hab vor einigen Tagen in der Fritzbox für das QNAP komplett den Internetzugriff gesperrt, alle paar Tage kommen neue Hiobsbotschaften mit Schwachstellen.
Gefühlt ist es so, dass seit Release von QTS 5 es ständig neue Sicherheitslücken gibt, die ausgenutzt werden, vorher war das doch deutlich seltener der Fall.
Gefühlt ist es so, dass seit Release von QTS 5 es ständig neue Sicherheitslücken gibt, die ausgenutzt werden, vorher war das doch deutlich seltener der Fall.
Ceiber3
Urgestein
Einfach nicht bei seinem Nas die Ports öffnen und nur über VPN verbinden. Ein User hier aus dem Forum hats erwischt alle Daten wurden verschlüsselt. Er konnte alle Festplatten Formatieren und das Nas neu aufsetzen. Leider hatte er scheinbar auch sein Nas zum Internet hin geöffnet, obwohl ich ihm schrieb nur über VPN. Den VPN hatte ich ihn sogar eingerichtet. Jetzt bin ich wieder leicht am helfen, habe aber zurzeit einfach kaum/keine Zeit.
Ist mir auch passiert mit der Ransomware Attacke im letzten Jahr. Hatte das Teil auch offen am Netz hängen, also quasi selber schuld. Jetzt hab ich mit VPN meinen Seelenfrieden.
Offen am netz = extra ports geöffnet, damit von extern zugegriffen werden kann oder einfach nur ohne weitere Konfiguration Internetzugriff (so dass App Updates/QTS Updates installiert werden können)?
Zuletzt bearbeitet:
passat3233
Urgestein
- Mitglied seit
- 01.05.2007
- Beiträge
- 4.367
Was nicht nötig gewesen wäre, wenn er eine aktuelle Datensicherung gehabt hätte.
Dann hätte er die verschlüsselten Daten aus der Datensicherung wiederherstellen können.
Ein NAS offen ins INternet zu stellen ist abgesehen davon immer eine schlechte Idee.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 849
Genau, dafür nutzt man einen extra Server, der über einen extra Kanal auf die Daten im NAS zugreift.
Ein NAS ist ein NAS und kein flull fleged Server mit VPN Server, Wolke, SIP und was weiß ich noch alles.
Wäre schön, wenn sich die beiden großen Hersteller mal darauf zurück besinnen würden und den ganzen Plugin-Kram in eigene Hardware auslagern würden.
Ein NAS ist ein NAS und kein flull fleged Server mit VPN Server, Wolke, SIP und was weiß ich noch alles.
Wäre schön, wenn sich die beiden großen Hersteller mal darauf zurück besinnen würden und den ganzen Plugin-Kram in eigene Hardware auslagern würden.
p4n0
Legende
Wenn die Kiste kompromittiert wurde brauchst du nichtmehr davon ausgehen, dass irgendwelche Daten auf dem Ding ueberleben.
Bin da auch @Weltherrscher 's Meinung: Das Zeug geheort nicht ans WAN und die Schuster sollten bei ihren Leisten bleiben.
Bin da auch @Weltherrscher 's Meinung: Das Zeug geheort nicht ans WAN und die Schuster sollten bei ihren Leisten bleiben.
Der Plex Port war offen. Naja, hab draus gelernt
Plex wurde kompromittiert?Der Plex Port war offen. Naja, hab draus gelernt
... ich hab den nämlich auch noch offen (Port 32400 für Plex auf Debian, nicht QNAP) und "nur" mit 2FA geschützt ...
(alles andere nur per VPN=wireguard)
Jep, Plex war offen, aber ich hatte das NAS auch per myQnap Cloud und deren DNS am Netz. Dort gab es ja auch Sicherheitsprobleme. Irgendwie sind sie jedenfalls draufgekommen.Plex wurde kompromittiert?
... ich hab den nämlich auch noch offen (Port 32400 für Plex auf Debian, nicht QNAP) und "nur" mit 2FA geschützt ...
(alles andere nur per VPN=wireguard)
Jetzt hab ich auch per PiVPN und Wireguard zu. Trotzdem... wenn man es als Hersteller nicht schafft, solche Lücken zu stopfen, sollte man diese Features vielleicht einfach gar nicht erst anbieten. So tut man sich und seinen Kunden doch keinen Gefallen.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 849
Nein.Plex wurde kompromittiert?
... ich hab den nämlich auch noch offen (Port 32400 für Plex auf Debian, nicht QNAP) und "nur" mit 2FA geschützt ...
(alles andere nur per VPN=wireguard)
Aber wozu muss Plex raustelefonieren, wegen Streaming unterwegs?
In Zeiten von Wireguard sollte das nicht mehr so sein.
//Edith:
Die Rede ist natürlich von rein privatem Streaming.
Sobald da noch andere involviert sind (bei mir der Mailserver und die Wolke) kannst Wireguard natürlich vergessen (DAU-Faktor einfach zu hoch)...
passat3233
Urgestein
- Mitglied seit
- 01.05.2007
- Beiträge
- 4.367
Diese Verschlüsselungstrojaner löschen tatsächlich die Snapshots.
Ceiber3
Urgestein
Jep der löscht die Snapshots. Deswegen die Snapshots immer backupen auf eine externe, dann kannst auch alles wiederherstellen.
freakyd
Banned
Basic Backup 1x1: MINDESTENS 2 Kopien auf 2 verschiedenen Medien.
Sich bloß auf die NAS zu verlassen ist
grob fahrlässig.
Ich mach immer mal wieder Backups auf externe Platten, die nach dem Backup ausgeschaltet werden.
QNAP pusht jetzt übrigens das Update aus dem Dezember automatisch auf die QNAPs drauf (auch, wenn man autoupdates deaktiviert hat). https://www.borncity.com/blog/2022/...PBMEe1liMvQ_TBS0Un8AEbLerICvsmgmsLfkafvam12BY
QNAP pusht jetzt übrigens das Update aus dem Dezember automatisch auf die QNAPs drauf (auch, wenn man autoupdates deaktiviert hat). https://www.borncity.com/blog/2022/...PBMEe1liMvQ_TBS0Un8AEbLerICvsmgmsLfkafvam12BY
passat3233
Urgestein
- Mitglied seit
- 01.05.2007
- Beiträge
- 4.367
Basics, richtig.
Früher sagte man, das man als absolut kleinste Backupstrategie das Großvater-Vater-Sohn Prinzip nehmen soll:
Immer 3 Generationen Backups, das älteste Backup wird mit dem aktuellen Backup überschrieben.
Man braucht dafür mindestens 3 Backupmedien.
Hintergrund der Geschichte ist, das man immer noch die Vorgängergeneration verfügbar hat, falls das jüngste Backup fehlerhaft oder sogar gar nicht mehr lesbar ist.
Beispiel:
Ich mache gerade ein Backup, dabei gibt es einen Stromausfall, das alte Backup ist defekt und und/oder teilweise schon überschrieben.
Jetzt greife ich mir das vorhergehende Backup und stelle fest: Platte defekt, nicht mehr lesbar. Dann kann ich immer noch das 3. Backup nehmen.
Mal für mich dummy....Plex ist also auch schon zu "offen"? Ich mein das NAS nutz ich schon gerne dazu meine digitalisierten CDs über Plex unterwegs zu streamen, weils die Hälfte meines Krams nicht bei Tidal gibt. Wie kontrollier ich denn am geschicktesten ob alles andere soweit dicht ist. Macht es Sinn bei Plex einen anderen Port zu verwenden als Standard oder bringt das dann auch nix mehr.
Ceiber3
Urgestein
Ein Kumpel von mir hats jetzt auch getroffen. Angeblich sind sie seiner Meinung nach über den VPN Port reingekommen. Er hatte das Nas nicht öffentlich gemacht bis auf VPN. "WireGuard"
Kann das sein ? Für alle anderen Anwendungen nutzt er ein anderes NAS was nicht betroffen ist.
Er schreibt auch das die News hier falsch wer: 5 btc für die Infos wo die Lücke ist, und 50 btc für den Generalschlüssel.
Hat er da Recht ? Habe es nicht geprüft.
Kann das sein ? Für alle anderen Anwendungen nutzt er ein anderes NAS was nicht betroffen ist.
Er schreibt auch das die News hier falsch wer: 5 btc für die Infos wo die Lücke ist, und 50 btc für den Generalschlüssel.
Hat er da Recht ? Habe es nicht geprüft.
Zuletzt bearbeitet:
p4n0
Legende
Ist er Sicherheitsforscher?
Konnte er den Schadcode analysieren um so eine Aussage zu treffen oder woher diese Info?
Ceiber3
Urgestein
Habe ich nicht geschrieben oder ? Er vermutet es, weil er eben keine anderen Ports usw offen hatte.
Ich zitier ihn einmal was er mir geschrieben hat: Habe ihn vorher gefragt ob ich das darf.
Kann nur schreiben was ein Kumpel der auch in der IT arbeitet vermutet. Sein Qnap ist halt betroffen obwohl es nicht von außen erreichbar war bis auf VPN.
Ich zitier ihn einmal was er mir geschrieben hat: Habe ihn vorher gefragt ob ich das darf.
Kann nur schreiben was ein Kumpel der auch in der IT arbeitet vermutet. Sein Qnap ist halt betroffen obwohl es nicht von außen erreichbar war bis auf VPN.
Anhänge
Zuletzt bearbeitet:
disturbed rabbit
Experte
- Mitglied seit
- 26.02.2013
- Beiträge
- 296
Versteh ich deinen Kumpel richtig, anstatt das NAS vom Internet zu trennen, hat er den integrierten VPN Dienst genutzt und damit die Kiste weiterhin im Netz gehabt obwohl QNAP gesagt hat, das man alle Geräte nicht von extern erreichbar machen soll?
Ceiber3
Urgestein
Er hatte es generell nicht im Netz freigeben. Und Qnap meint damit die Ports für die Qnap Dienste: MyQnap usw... Musik Station, Photo Station, alle wollen normal offene Ports im Router.
Selbst hier in der News steht:
Und das war wie geschrieben bei ihm das einzige was gelaufen ist damit er verschlüsselt auf sein Nas von außen "Arbeit" kommt.
Bei mir läuft auch nur noch alles über VPN, habe aber kein Qnap Nas mehr. Alles Selbstbau.
Er hatte aber Glück, wie es sich gehört: Und das sollte auch jeder machen den seine Daten wichtig sind.
Selbst hier in der News steht:
Und das war wie geschrieben bei ihm das einzige was gelaufen ist damit er verschlüsselt auf sein Nas von außen "Arbeit" kommt.
Bei mir läuft auch nur noch alles über VPN, habe aber kein Qnap Nas mehr. Alles Selbstbau.
Er hatte aber Glück, wie es sich gehört: Und das sollte auch jeder machen den seine Daten wichtig sind.
disturbed rabbit
Experte
- Mitglied seit
- 26.02.2013
- Beiträge
- 296
Es gibt absolut keine Informationen darüber welche Funktionen genau für den Angriff genutzt werden, es gibt Spekulationen zu ZeroDays, BruteForce oder älteren SecVul in der Firmware/Software. Es scheint sogar so akut zu sein das QNAP ein Firmware Update pusht selbst wenn AutoUpdate deaktiviert ist und dein Kumpel denkt immer noch es wäre intelligent die Kiste von extern erreichbar zu machen. Natürlich ist es generell im Netz freigegeben, der QNAP VPN Dienst muss über eine Portweiterleitung von extern erreichbar sein sonst hat er keine Funktion.
Der Hinweis in der News ist aber nicht das man den VPN Dienst des gefährdeten Gerätes nutzen soll sondern einen seperaten Sicherheitslayer in Form von VPN benutzen soll.
Der Hinweis in der News ist aber nicht das man den VPN Dienst des gefährdeten Gerätes nutzen soll sondern einen seperaten Sicherheitslayer in Form von VPN benutzen soll.
Ceiber3
Urgestein
Ja das schon, deswegen geht er davon aus dass sie über den VPN reingekommen sind wie oben geschrieben. Es war der einzige Port der offen war.
Das wer meiner Meinung nach auch sehr schlau, keiner geht davon aus das sie über den VPN Port einbrechen. Beispielweise nutzen ie irgendein Port der offen ist, man weiß ja nicht wie sie reingekommen sind.
Das wer meiner Meinung nach auch sehr schlau, keiner geht davon aus das sie über den VPN Port einbrechen. Beispielweise nutzen ie irgendein Port der offen ist, man weiß ja nicht wie sie reingekommen sind.
disturbed rabbit
Experte
- Mitglied seit
- 26.02.2013
- Beiträge
- 296
Sie brechen nicht "über" VPN ein, sie erhalten eine Rückmeldung auf einen Netzwerkport eines ungesicherten Gerätes. Es könnte zum Beispiel sein das es ähnlich wie bei Log4J ist und das selbst ein Log-Eintrag mit Payload zu einem erfolgreichen Hack führt, da ist es egal welcher Dienst läuft solange er von extern erreichbar ist.
Ceiber3
Urgestein
Ich meine ja auch den Port und nicht den Dienst selber.
disturbed rabbit
Experte
- Mitglied seit
- 26.02.2013
- Beiträge
- 296
Der Port ist aber egal und hat nichts mit Schlau oder ähnlichem zu tun, ein PortScan einer IP, selbst wenn man die komplette PortRange nimmt dauert nur ein paar Sekunden, einen Bruchteil davon wenn man die normalen RFC Ports ohne Highports nimmt auf denen die meisten Services laufen. Es war einfach nicht klug von deinem Kumpel irgendeinen Port zu öffnen in der derzeitigen Situation.
