Abo
  • Services:
Anzeige
NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden.
NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden. (Bild: Qnap)

Command Injection: Qnap-NAS-Geräte aus der Ferne angreifbar

NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden.
NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden. (Bild: Qnap)

Wer ein NAS von Qnap administriert, sollte schnell die neueste Softwareversion einspielen - denn die Geräte sind für Angriffe aus der Ferne verwundbar. Über einen manipulierten Reboot-Befehl kann beliebiger Code ausgeführt werden.

Sicherheitsforscher von F-Secure haben Schwachstellen in der Firmware von NAS-Geräten der Firma Qnap gefunden. Diese sollen Angreifer in die Lage versetzen, Kommandos auf dem Gerät auszuführen. Bereits Anfang des Jahres hatte F-Secure Fehler in der Firmware entdeckt, die aber deutlich schwieriger auszunutzen waren. Qnap hat Patches bereitgestellt. Die Schwachstellen wurden auf einem QNAP TVS-663 entdeckt, offenbar sind aber deutlich mehr Geräte verwundbar, weil der Fehler in der Firmware von Qnap steckt.

Anzeige

In den Patchnotes von Qnap steht, dass alle NAS-Geräte anfällig sind, die die QTS-Firmware nutzen. Mit den Updates werden noch weitere Schwachstellen geschlossen, etwa zwei Stack Overflows die zu Ausführung von Code missbraucht werden könnten. Nach Angaben von Harry Sintonen von F-Secure konnte er rund 90.000 verwundbare Geräte finden.

Angreifer können beliebigen Code ausführen

Angreifer werden durch die Schwachstellen in die Lage versetzt, ohne Authentifizierung Code mit Root-Rechten auszuführen. Um die Schwachstelle (CVE-2017-6361) auszunutzen, wird dem System ein manipulierter Befehl zum Rebooten gesendet, damit beliebige Befehle auf dem Gerät ausgeführt werden können. Dabei handelt es sich um eine mit Base64-encodierte Nachricht, die unter anderem die Unix-Zeit, die gesendeten Befehle und den eigentlichen Payload enthält.

Ähnliche Schwachstellen befinden sich in den Funktionen userconfig.cgi (CVE-2017-6360) und utilrequst.cgi (CVE-2017-6359). Qnap hat die Fehler durch eine Validierung der Eingaben und richtiges Escaping der Shell-Funktionszeichen (Shell Metacharakters) behoben. Nutzer sollten sicherstellen, dass sie eine Firmwareversion ab 4.2.4 (Build 20170313) installiert haben. Alternativ kann der Zugang zum Webinterface über die Ports 8080 und 443 eingeschränkt werden.


eye home zur Startseite
tonictrinker 24. Apr 2017

Das ist eine Art DDNS-Dienst. Allerdings muss man nicht - wie wohl bei anderen manchmal...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Fraunhofer-Institut für Integrierte Schaltungen IIS, Nürnberg
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. mobileX AG, München
  4. GOM GmbH, Braunschweig


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. 49,00€ (zzgl. 4,99€ Versand oder versandkostenfrei bei Abholung im Markt)
  3. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. id Software

    Nächste id Tech setzt massiv auf FP16-Berechnungen

  2. Broadcom-Sicherheitslücken

    Samsung schützt Nutzer nicht vor WLAN-Angriffe

  3. Star Citizen

    Transparenz im All

  4. Hikey 960

    Huawei bringt Entwicklerboard mit Mate-9-Chip

  5. Samsung

    Chip-Sparte bringt Gewinnanstieg

  6. Mario Kart 8 Deluxe im Test

    Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo

  7. Google Global Cache

    Googles Server für Kuba sind online

  8. Snap Spectacles im Test

    Das Brillen-Spektakel für Snapchat-Fans

  9. Hybridkonsole

    Nintendo verkauft im ersten Monat 2,74 Millionen Switch

  10. Windows 10

    Fehler unterbricht Verteilung des Creators Update teilweise



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Untote Rundfahrt und mobiles Seemannsgarn
Mobile-Games-Auslese
Untote Rundfahrt und mobiles Seemannsgarn
  1. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt
  2. Pay-by-Call Eltern haften nicht für unerlaubte Telefonkäufe der Kinder
  3. Spielebranche Deutscher Gamesmarkt war 2016 stabil

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto VW testet E-Trucks
  2. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro
  3. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren

Quantencomputer: Alleskönner mit Grenzen
Quantencomputer
Alleskönner mit Grenzen

  1. Das ist ein Überbleibsel ...

    Milber | 16:47

  2. Re: Ich sehe das anders

    /mecki78 | 16:47

  3. Mein Fazit der Diskussionen

    Dariusz | 16:46

  4. Re: zudem könnte so mancher ungehalten reagieren...

    attitudinized | 16:46

  5. Re: Ein Schlag ins Gesicht für alle Besitzer auf...

    LH | 16:45


  1. 16:33

  2. 16:05

  3. 15:45

  4. 15:26

  5. 14:55

  6. 14:00

  7. 12:42

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel