Command Injection: Qnap-NAS-Geräte aus der Ferne angreifbar

Wer ein NAS von Qnap administriert, sollte schnell die neueste Softwareversion einspielen - denn die Geräte sind für Angriffe aus der Ferne verwundbar. Über einen manipulierten Reboot-Befehl kann beliebiger Code ausgeführt werden.

Artikel veröffentlicht am ,
NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden.
NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden. (Bild: Qnap)

Sicherheitsforscher von F-Secure haben Schwachstellen in der Firmware von NAS-Geräten der Firma Qnap gefunden. Diese sollen Angreifer in die Lage versetzen, Kommandos auf dem Gerät auszuführen. Bereits Anfang des Jahres hatte F-Secure Fehler in der Firmware entdeckt, die aber deutlich schwieriger auszunutzen waren. Qnap hat Patches bereitgestellt. Die Schwachstellen wurden auf einem QNAP TVS-663 entdeckt, offenbar sind aber deutlich mehr Geräte verwundbar, weil der Fehler in der Firmware von Qnap steckt.

Stellenmarkt
  1. Senior Product Owner KI & Machine Learning (w/m/d)
    Dataport, verschiedene Standorte
  2. Principal Expert Preisprüfung - Teamleiter Controlling öffentliches Preisrecht (m/w/d)
    Hays AG, München
Detailsuche

In den Patchnotes von Qnap steht, dass alle NAS-Geräte anfällig sind, die die QTS-Firmware nutzen. Mit den Updates werden noch weitere Schwachstellen geschlossen, etwa zwei Stack Overflows die zu Ausführung von Code missbraucht werden könnten. Nach Angaben von Harry Sintonen von F-Secure konnte er rund 90.000 verwundbare Geräte finden.

Angreifer können beliebigen Code ausführen

Angreifer werden durch die Schwachstellen in die Lage versetzt, ohne Authentifizierung Code mit Root-Rechten auszuführen. Um die Schwachstelle (CVE-2017-6361) auszunutzen, wird dem System ein manipulierter Befehl zum Rebooten gesendet, damit beliebige Befehle auf dem Gerät ausgeführt werden können. Dabei handelt es sich um eine mit Base64-encodierte Nachricht, die unter anderem die Unix-Zeit, die gesendeten Befehle und den eigentlichen Payload enthält.

Ähnliche Schwachstellen befinden sich in den Funktionen userconfig.cgi (CVE-2017-6360) und utilrequst.cgi (CVE-2017-6359). Qnap hat die Fehler durch eine Validierung der Eingaben und richtiges Escaping der Shell-Funktionszeichen (Shell Metacharakters) behoben. Nutzer sollten sicherstellen, dass sie eine Firmwareversion ab 4.2.4 (Build 20170313) installiert haben. Alternativ kann der Zugang zum Webinterface über die Ports 8080 und 443 eingeschränkt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Liberty Lifter
US-Militär lässt ein eigenes Ekranoplan entwickeln

In den 1960er Jahren schockten die Sowjets den Westen mit dem Kaspischen Seemonster. Die Darpa will ein eigenes, besseres Bodeneffektfahrzeug bauen.

Liberty Lifter: US-Militär lässt ein eigenes Ekranoplan entwickeln
Artikel
  1. Abo: Spielebranche streitet über Game Pass
    Abo
    Spielebranche streitet über Game Pass

    Nach Kritik von Sony gibt es mehr Stimmen aus der Spielebranche, die Game Pass problematisch finden - aber auch klares Lob für das Abo.

  2. WSL, App SDK und Hybrid Loop: Microsoft baut Entwicklungssupport für Windows 11 aus
    WSL, App SDK und Hybrid Loop
    Microsoft baut Entwicklungssupport für Windows 11 aus

    Build 2022 Das WSL landet im Store, Entwickler können Windows-11-Widgets umsetzen und der Hybrid Loop soll KI-Anwendungen verbessern.

  3. Bayern: Aufbau von Mobilfunkmasten ohne Genehmigung möglich
    Bayern
    Aufbau von Mobilfunkmasten ohne Genehmigung möglich

    Bayern will beim Ausbau des Mobilfunknetzes teilweise auf Genehmigungsverfahren verzichten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Xbox Series X bestellbar • Samsung SSD 1TB 79€ • LG OLED TV 77" 56% günstiger: 1.099€ • Alternate (u. a. Cooler Master Curved Gaming-Monitor 34" UWQHD 144 Hz 459€) • Sony-Fernseher bis zu 47% günstiger • Cyber Week: Alle Deals freigeschaltet • Samsung schenkt 19% MwSt.[Werbung]
    •  /