NEWS

Qnap NAS

Malware nutzt Zero-Day-Exploit

Portrait des Authors


Malware nutzt Zero-Day-Exploit
0

Werbung

Nachdem Benutzer der Qnap-NAS-Systeme von Problemen bei Updates der Virenscanner und der Installation des QNAP-Malware-Removers berichteten, scheint der Grund dafür nun gefunden zu sein: Eine bis jetzt unbekannte Malware soll hinter den Schwierigkeiten stecken. 

Besagte Malware verhindert das Updaten der Virenscanner indem sie die Host-Datei manipuliert. Dabei werden mehr als 700 Domains in dieser hinterlegt und auf die IP-Adresse 0.0.0.0 aufgelöst. 

Folgender Auszug stammt aus der manipulierten Hostdatei: 

 0.0.0.0 bugs.clamav.net 0.0.0.0 current.cvd.clamav.net 0.0.0.0 database.clamav.net 0.0.0.0 db.local.clamav.net 0.0.0.0 update.nai.com 0.0.0.0 db.ac.clamav.net 0.0.0.0 db.ac.ipv6.clamav.net 0.0.0.0 db.ac.big.clamav.net

Ebenfalls scheint die Malware den QNAP-Malware-Remover zu befallen. Im QNAP-Club-Forum wird berichtet, dass die Malware die aktuelle Version 3.4 der App überschreibt und durch eine App mit der Version 9.0 ersetzt. Auch der Versuch, ein “Downgrade” auf die offizielle Version 3.4 durchzuführen scheitert. Aktuell gibt es noch keine Stellungnahme seitens des Herstellers QNAP, obwohl bereits seit Ende Januar mehrere Sichtungen der besagten Malware aufgetaucht sind. Auch ist weiterhin unklar, wie die betroffenen Geräte infiziert wurden.   

Auf Reddit veröffentlichte ein Nutzer einen Link zum “Derek-Be-Gone-Script”. Das Script soll laut Autor von einem Qnap-Techniker während einer Teamviewer-Sitzung genutzt worden sein, um die besagte Malware zu entfernen. Das 146 Zeilen lange Script liegt in der Version 1.4 auf den offiziellen QNAP-Servern zum Download bereit. Es soll für das Entfernen der Malware sorgen und anschließend durch den Download des MalwareRemover_3.4.1_20190125_182348.zip-Archivs den QNAP-Malware-Remover erneut installieren. Es ist möglich, das Script direkt über die Kommandozeile herunterzuladen und auszuführen. Dafür muss folgender Befehl eingegeben werden: 

 curl https://download.qnap.com/Storage/tsd/utility/derek-be-gone.sh | sh 

Allerdings gilt hier zu beachten, dass niemals ein Script ohne vorherige Prüfung ausgeführt werden sollte. Ebenfalls ist unklar welche Gerätegruppen betroffen sind und ob besagtes Script uneingeschränkt verwendet werden kann. Zudem ist durch das Entfernen der Malware die Sicherheitslücke nicht geschlossen, durch welche es gelungen war den Host zu infizieren. So ist ein Neubefall jederzeit möglich. Da der Hersteller keinerlei Stellungnahme veröffentlicht hat, können wir aktuell betroffenen Usern nur zu Folgendem raten: Backup aller wichtigen Daten anlegen, dem Gerät wenn möglich keinen Zugang zum Internet gewähren und den NAS mit dem Script (v1.4) bereinigen. Alternativ kann das System komplett neu aufgesetzt werden. Die Verwendung des Scripts erfolgt allerdings ausdrücklich auf eigene Gefahr. Wir haben die v1.4 zwar ausgiebig untersucht und konnten dabei keine Anomalien feststellen, allerdings wurde besagtes Script nicht offiziell vom Hersteller veröffentlicht und so können auch wir nur vermuten dass es sich auf allen QNAP-Geräten gefahrlos verwenden lässt.

Preise und Verfügbarkeit
Nicht verfügbar Nicht verfügbar Nicht verfügbar
Preise und Verfügbarkeit bei Geizhals