Abo
  • IT-Karriere:

Command Injection: Qnap-NAS-Geräte aus der Ferne angreifbar

Wer ein NAS von Qnap administriert, sollte schnell die neueste Softwareversion einspielen - denn die Geräte sind für Angriffe aus der Ferne verwundbar. Über einen manipulierten Reboot-Befehl kann beliebiger Code ausgeführt werden.

Artikel veröffentlicht am ,
NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden.
NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden. (Bild: Qnap)

Sicherheitsforscher von F-Secure haben Schwachstellen in der Firmware von NAS-Geräten der Firma Qnap gefunden. Diese sollen Angreifer in die Lage versetzen, Kommandos auf dem Gerät auszuführen. Bereits Anfang des Jahres hatte F-Secure Fehler in der Firmware entdeckt, die aber deutlich schwieriger auszunutzen waren. Qnap hat Patches bereitgestellt. Die Schwachstellen wurden auf einem QNAP TVS-663 entdeckt, offenbar sind aber deutlich mehr Geräte verwundbar, weil der Fehler in der Firmware von Qnap steckt.

Stellenmarkt
  1. Dr. Fritz Faulhaber GmbH & Co. KG, Schönaich
  2. Vodafone GmbH, Düsseldorf

In den Patchnotes von Qnap steht, dass alle NAS-Geräte anfällig sind, die die QTS-Firmware nutzen. Mit den Updates werden noch weitere Schwachstellen geschlossen, etwa zwei Stack Overflows die zu Ausführung von Code missbraucht werden könnten. Nach Angaben von Harry Sintonen von F-Secure konnte er rund 90.000 verwundbare Geräte finden.

Angreifer können beliebigen Code ausführen

Angreifer werden durch die Schwachstellen in die Lage versetzt, ohne Authentifizierung Code mit Root-Rechten auszuführen. Um die Schwachstelle (CVE-2017-6361) auszunutzen, wird dem System ein manipulierter Befehl zum Rebooten gesendet, damit beliebige Befehle auf dem Gerät ausgeführt werden können. Dabei handelt es sich um eine mit Base64-encodierte Nachricht, die unter anderem die Unix-Zeit, die gesendeten Befehle und den eigentlichen Payload enthält.

Ähnliche Schwachstellen befinden sich in den Funktionen userconfig.cgi (CVE-2017-6360) und utilrequst.cgi (CVE-2017-6359). Qnap hat die Fehler durch eine Validierung der Eingaben und richtiges Escaping der Shell-Funktionszeichen (Shell Metacharakters) behoben. Nutzer sollten sicherstellen, dass sie eine Firmwareversion ab 4.2.4 (Build 20170313) installiert haben. Alternativ kann der Zugang zum Webinterface über die Ports 8080 und 443 eingeschränkt werden.



Anzeige
Top-Angebote
  1. 139,00€ (Bestpreis!)
  2. (aktuell u. a. Speedlink Velator Gaming-Tastatur für 9,99€, Deepcool New Ark Gehäuse für 249...
  3. 104,90€

Suppengruen 06. Jul 2017

zumal man erwähnen sollte, dass ein Firmwareupdate bei QNAS Systemen auch in einem...


Folgen Sie uns
       


FX Tec Pro 1 - Hands on

Das Pro 1 von FX Tec ist ein Smartphone mit eingebauter Hardware-Tastatur. Der Slide-Mechanismus macht im ersten Kurztest von Golem.de einen sehr guten Eindruck.

FX Tec Pro 1 - Hands on Video aufrufen
Apple TV+: Apples Videostreamingdienst ist nicht konkurrenzfähig
Apple TV+
Apples Videostreamingdienst ist nicht konkurrenzfähig

Bei so einem mickrigen Angebot hilft auch ein mickriger Preis nicht: Apples Streamingdienst hat der Konkurrenz von Netflix, Amazon und bald Disney nichts entgegenzusetzen - und das wird sich auf Jahre nicht ändern.
Eine Analyse von Ingo Pakalski

  1. Apple TV+ Disney-Chef tritt aus Apple-Verwaltungsrat zurück
  2. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat
  3. Videostreaming Apple TV+ startet mit fünf Serien für 10 US-Dollar monatlich

Acer Predator Thronos im Sit on: Der Nerd-Olymp
Acer Predator Thronos im Sit on
Der Nerd-Olymp

Ifa 2019 Ob wir es nun den eisernen Thron oder den Sitz der Götter nennen: Der Predator Thronos von Acer fällt auf dem Messestand des Herstellers schon auf. Golem.de konnte den skurrilen Stuhl ausprobieren. Er ist eines Gaming-Kellers würdig.
Ein Hands on von Oliver Nickel

  1. Nitro XV273X Acer baut ersten Monitor mit IPS-Panel und 240 Hz
  2. Acer Beim Predator-Notebook fährt die Tastatur wie eine Rampe aus
  3. Geräte für Mediengestalter Acer gibt Verfügbarkeit der Concept-D-Laptops bekannt

Recruiting: Wenn das eigene Wachstum zur Herausforderung wird
Recruiting
Wenn das eigene Wachstum zur Herausforderung wird

Gerade im IT-Bereich können Unternehmen sehr schnell wachsen. Dabei können der Fachkräftemangel und das schnelle Onboarding von neuen Mitarbeitern zum Problem werden. Wir haben uns bei kleinen Startups und Großkonzernen umgehört, wie sie in so einer Situation mit den Herausforderungen umgehen.
Von Robert Meyer

  1. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  2. LoL Was ein E-Sport-Trainer können muss
  3. IT-Arbeit Was fürs Auge

    •  /