Abo
  • Services:
Anzeige
NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden.
NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden. (Bild: Qnap)

Command Injection: Qnap-NAS-Geräte aus der Ferne angreifbar

NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden.
NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden. (Bild: Qnap)

Wer ein NAS von Qnap administriert, sollte schnell die neueste Softwareversion einspielen - denn die Geräte sind für Angriffe aus der Ferne verwundbar. Über einen manipulierten Reboot-Befehl kann beliebiger Code ausgeführt werden.

Sicherheitsforscher von F-Secure haben Schwachstellen in der Firmware von NAS-Geräten der Firma Qnap gefunden. Diese sollen Angreifer in die Lage versetzen, Kommandos auf dem Gerät auszuführen. Bereits Anfang des Jahres hatte F-Secure Fehler in der Firmware entdeckt, die aber deutlich schwieriger auszunutzen waren. Qnap hat Patches bereitgestellt. Die Schwachstellen wurden auf einem QNAP TVS-663 entdeckt, offenbar sind aber deutlich mehr Geräte verwundbar, weil der Fehler in der Firmware von Qnap steckt.

Anzeige

In den Patchnotes von Qnap steht, dass alle NAS-Geräte anfällig sind, die die QTS-Firmware nutzen. Mit den Updates werden noch weitere Schwachstellen geschlossen, etwa zwei Stack Overflows die zu Ausführung von Code missbraucht werden könnten. Nach Angaben von Harry Sintonen von F-Secure konnte er rund 90.000 verwundbare Geräte finden.

Angreifer können beliebigen Code ausführen

Angreifer werden durch die Schwachstellen in die Lage versetzt, ohne Authentifizierung Code mit Root-Rechten auszuführen. Um die Schwachstelle (CVE-2017-6361) auszunutzen, wird dem System ein manipulierter Befehl zum Rebooten gesendet, damit beliebige Befehle auf dem Gerät ausgeführt werden können. Dabei handelt es sich um eine mit Base64-encodierte Nachricht, die unter anderem die Unix-Zeit, die gesendeten Befehle und den eigentlichen Payload enthält.

Ähnliche Schwachstellen befinden sich in den Funktionen userconfig.cgi (CVE-2017-6360) und utilrequst.cgi (CVE-2017-6359). Qnap hat die Fehler durch eine Validierung der Eingaben und richtiges Escaping der Shell-Funktionszeichen (Shell Metacharakters) behoben. Nutzer sollten sicherstellen, dass sie eine Firmwareversion ab 4.2.4 (Build 20170313) installiert haben. Alternativ kann der Zugang zum Webinterface über die Ports 8080 und 443 eingeschränkt werden.


eye home zur Startseite
Suppengruen 06. Jul 2017

zumal man erwähnen sollte, dass ein Firmwareupdate bei QNAS Systemen auch in einem...



Anzeige

Stellenmarkt
  1. über Duerenhoff GmbH, Raum Melsungen
  2. IT-Designers GmbH, Stuttgart
  3. GK Software AG, Schöneck
  4. Horváth & Partners Management Consultants, München, Hamburg, Berlin, Frankfurt, Stuttgart, Düsseldorf


Anzeige
Spiele-Angebote
  1. (-15%) 16,99€
  2. (-85%) 4,49€

Folgen Sie uns
       


  1. DS218

    Neues Einsteiger-NAS-System mit Btrfs

  2. Testgelände

    BMW will in Tschechien autonome Autos erproben

  3. GTA 5

    Goldener Revolver für Red Dead Redemption 2 versteckt

  4. Geldwäsche

    EU will den Bitcoin weniger anonym machen

  5. Soziale Medien

    Facebook-Forscher finden Facebook problematisch

  6. Streit um Stream On

    Die Telekom spielt das Uber-Spiel

  7. US-Verteidigungsministerium

    Pentagon forschte jahrelang heimlich nach Ufos

  8. Age of Empires (1997)

    Mit sanftem "Wololo" durch die Antike

  9. Augmented Reality

    Google stellt Project Tango ein

  10. Uber vs. Waymo

    Uber spionierte Konkurrenten aus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

  1. Re: Und schon wieder ist Deutschland aus - kein...

    Kleba | 10:08

  2. Es ist eine freiwillige Option!

    Pecker | 10:04

  3. Re: Öfters mal Skimaske tragen.

    Daem | 10:04

  4. Der Telekom ist das Image vollkommen egal!

    tKahner | 10:03

  5. Re: AVM Bug Bounty

    Niyak | 10:03


  1. 09:59

  2. 07:11

  3. 14:17

  4. 13:34

  5. 12:33

  6. 11:38

  7. 10:34

  8. 08:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel