Zero-Day-Schwachstelle im QNAP-NAS wird aktiv ausgenutzt

Er wuste zu dem Zeitpunkt garnicht's davon. 😉

Wo er davon erfahren hat, war es schon zu Spät. VPN nutzt er allgemein, eigentlich eben wegen der Sicherheit.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ceiber3 schrieb:
Er wuste zu dem Zeitpunkt garnicht's davon. 😉

Wo er davon erfahren hat, war es schon zu Spät. VPN nutzt er allgemein, eigentlich eben wegen der Sicherheit.
Zum Vergrößern anklicken....
Läuft sein VPN Server auf dem Qnap? Das ist dann nämlich eben eher nicht so clever... wenn es da nämlich irgendeine Lücke gibt, sind sie ja schon drauf. Ich würde den VPN Server auf jeden Fall auf dem Router oder nem Raspberry o.ä. laufen lassen. Auch dann keine Garantie, aber dürfte deutlich sicherer sein...
 
Er hatte ihn erst wo anders laufen, weil die Qnap VPN App mit OpenVPN langsam war, dann hatten die WireGuard eingebaut und er hat dem Teil nochmal ne Chance gegeben und das lief wohl auch ganz gut.
Davor hatte er auf nen anderen Linux Server über den OpenVPN Server laufen, der lief auch sehr schnell.
 
Ceiber3 schrieb:
Er hatte ihn erst wo anders laufen, weil die Qnap VPN App mit OpenVPN langsam war, dann hatten die WireGuard eingebaut und er hat dem Teil nochmal ne Chance gegeben und das lief wohl auch ganz gut.
Davor hatte er auf nen anderen Linux Server über den OpenVPN Server laufen, der lief auch sehr schnell.
Zum Vergrößern anklicken....
Ah okay. Ja gut, aber dann ist das NAS ja nach außen hin offen. Zwar nur über den VPN Port, aber das reicht ja... offen ist offen.
 
Halte ich bei Wireguard aber unwahrscheinlich, dass sie darüber rein gekommen sind.
Immerhin würden sie dafür ja einen gültigen Client-Schlüssel benötigen.
Sicher, dass nicht per UPNP noch andere Ports offen sind / waren?

Ich bekräftige nochmals meine Aussage, dass jeder Dienst, der extern verfügbar sein soll, auf einer extra Maschine laufen sollte, das NAS sollte *niemals* direkt exponiert werden.
Dafür ist die ganze Architektur von QNAP zu unsicher...
 
Allenfalls über eine Lücke im IP oder UDP Stack von QNAP könnte ich mir das erklären (TCP nutzt wireguard ja nicht und wird hoffentlich vom besagten IT Fachmann auch nicht an den wg-Port weitergeleitet).
 
Autoupdate Updates, obwohl ausgeschaltet? Also lokale Einstellungen werden ignoriert? Dann kann diese von QNAP geschaffene Zugriffsmöglichkeit - am expliziten Willen des QNAP Nutzers vorbei gehende "Funktion" - kompromittiert worden sein? Womit dann auch an VPN vorbei munter aufs heimische System zugegriffen werden kann?

Deswegen gehört aus meiner Sicht ein NAS in die Liste gesperrter Geräte, wenn es um Zugang ins Internet geht. Und deswegen gehören Hersteller, die sowas machen "auf den Poden"!!
 
Zuletzt bearbeitet:
you schrieb:
Autoupdate Updates, obwohl ausgeschaltet? Also lokale Einstellungen werden ignoriert? Dann kann, diese von QNAP geschaffene Zugriffsmöglichkeit - am expliziten Willen des QNAP Nutzers vorbei gehende "Funktion" - kompromittiert worden sein? Womit dann auch an VPN vorbei munter aufs heimische System zugegriffen werden kann?
Zum Vergrößern anklicken....
Nein, nicht zwingend -- wenn die qnap nach Hause telefoniert und dabei das Update verpasst bekommt, gibt es da keine "Zugriffsmöglichkeit" von aussen für Dritte (ausser sie können sich als MITM in die TLS-Verbindung einklinken, und das ist nun sehr unwahrscheinlich)
 
  • Danke
Reaktionen: you
Ich bin da bei @you
Wenn ich keinen Button druecke, dass dort ein Update passiert, dann hat auch nichts zu passieren.
Sofern die Kiste vollautomatisch geupdated wird muss ich dem Hersteller saemtliches Vertrauen entziehen.
Denn er hat gegen meinen Willen (ohne meine Zustimmung) auf meinem Eigentum etwas getan, was ich nicht wollte.
Genauso gut haette er das Ding Formatieren oder sonstwas damit anstellen koennen. Denn offensichtlich kann er aus der Ferne
Code ausfuehren, ohne dass es meinem Zutun bedarf.
 
  • Danke
Reaktionen: you
Das ist natürlich Spekulation bezogen auf den aktuellen Fall. Aber in jedem Fall eine Tür, die kompromittiert werden kann. Für mich ein noGo. Dieser Hersteller ist aber leider auch kein Einzelfall.
 
Hae? Gab es nun forced updates oder nicht? Der Artikel gibt nicht sonderlich viel her.
 
Doch der erklärt das genau, viele hatte wohl Recommended Version nicht beim AutoUpdate ausgeschlossen.
 
Das ist ein Artikel von der Marketingabteilung. Nach ca 30 min Recherche gestern (Und auch paar YT Vids) scheint es in der Realitaet doch etwas anders gelaufen sein, als dort steht.
Gerne kann doch mal n Betroffener sich zu wort melden :d
 
Es soll auch Kanaele geben, in denen solche Themen beleuchtet werden.
Von technisch-versierten Menschen. Ganz ohne Unboxing und Product-Placements :d

//edit
hier mal reinlesen:
www.bleepingcomputer.com

QNAP force-installs update after DeadBolt ransomware hits 3,600 devices

QNAP force-updated customer's Network Attached Storage (NAS) devices with firmware containing the latest security updates to protect against the DeadBolt ransomware, which has already encrypted over 3,600 devices.
www.bleepingcomputer.com www.bleepingcomputer.com
 
asche77 schrieb:
Nein, nicht zwingend -- wenn die qnap nach Hause telefoniert und dabei das Update verpasst bekommt
Zum Vergrößern anklicken....
So wird es jedenfalls dargestellt:
How Auto Update works

QTS / QuTS hero will periodically contact the QNAP software update server to obtain the latest system software information. When an update is available, your NAS will send a notification, if the notification function is set. When logging in to the QTS/QuTS hero portal, a reminder will also be shown.
Zum Vergrößern anklicken....
Beitrag automatisch zusammengeführt:

p4n0 schrieb:
Wenn ich keinen Button druecke, dass dort ein Update passiert, dann hat auch nichts zu passieren.
Zum Vergrößern anklicken....
Dann nutzt Du auch kein Windows und kein Android mit Google playstore, oder?
 
asche77 schrieb:
Dann nutzt Du auch kein Windows und kein Android mit Google playstore, oder?
Zum Vergrößern anklicken....
Windows als Clientgeraet, kein Problem. Aber da weiß ich ja im Vorfeld worauf ich mich einlasse.
Android nicht. Playstore auch nicht.

Es ist einfach problematisch wenn das NAS einfach so mal ungeplant neustartet. Vor allem wenn man auch VMs auf dem Ding hat etc..
 
Anmelden, um zu antworten.

Ähnliche Themen

T
[Kaufberatung] Benötige Feedback zu meinem NAS Konzept (Budget 1,5-3k €)
Antworten
1
Aufrufe
907
Frecyboy
F
P
[Kaufberatung] Budget-NAS für Backup, Foto-Selfhost und Firewall+VLAN - EpycEmbedded vs AM4 vs gebrauchte Workstation?
Antworten
14
Aufrufe
2K
Pete_5
P
L
Beratung zu Selbstbau: Sparsamer Homeserver mit Desktop-Hardware?
2
Antworten
57
Aufrufe
5K
LonerLost
L
D
[Guide] Mein neuer Home-Server / NAS im kleinsten Server-PC der Welt [Mini-PC mit Xeon und ECC RAM]
Antworten
11
Aufrufe
829
dakazze
D
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh