Abo
  • Services:
Anzeige
NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden.
NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden. (Bild: Qnap)

Command Injection: Qnap-NAS-Geräte aus der Ferne angreifbar

NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden.
NAS-Geräte von Qnap sind verwundbar und sollten gepatcht werden. (Bild: Qnap)

Wer ein NAS von Qnap administriert, sollte schnell die neueste Softwareversion einspielen - denn die Geräte sind für Angriffe aus der Ferne verwundbar. Über einen manipulierten Reboot-Befehl kann beliebiger Code ausgeführt werden.

Sicherheitsforscher von F-Secure haben Schwachstellen in der Firmware von NAS-Geräten der Firma Qnap gefunden. Diese sollen Angreifer in die Lage versetzen, Kommandos auf dem Gerät auszuführen. Bereits Anfang des Jahres hatte F-Secure Fehler in der Firmware entdeckt, die aber deutlich schwieriger auszunutzen waren. Qnap hat Patches bereitgestellt. Die Schwachstellen wurden auf einem QNAP TVS-663 entdeckt, offenbar sind aber deutlich mehr Geräte verwundbar, weil der Fehler in der Firmware von Qnap steckt.

Anzeige

In den Patchnotes von Qnap steht, dass alle NAS-Geräte anfällig sind, die die QTS-Firmware nutzen. Mit den Updates werden noch weitere Schwachstellen geschlossen, etwa zwei Stack Overflows die zu Ausführung von Code missbraucht werden könnten. Nach Angaben von Harry Sintonen von F-Secure konnte er rund 90.000 verwundbare Geräte finden.

Angreifer können beliebigen Code ausführen

Angreifer werden durch die Schwachstellen in die Lage versetzt, ohne Authentifizierung Code mit Root-Rechten auszuführen. Um die Schwachstelle (CVE-2017-6361) auszunutzen, wird dem System ein manipulierter Befehl zum Rebooten gesendet, damit beliebige Befehle auf dem Gerät ausgeführt werden können. Dabei handelt es sich um eine mit Base64-encodierte Nachricht, die unter anderem die Unix-Zeit, die gesendeten Befehle und den eigentlichen Payload enthält.

Ähnliche Schwachstellen befinden sich in den Funktionen userconfig.cgi (CVE-2017-6360) und utilrequst.cgi (CVE-2017-6359). Qnap hat die Fehler durch eine Validierung der Eingaben und richtiges Escaping der Shell-Funktionszeichen (Shell Metacharakters) behoben. Nutzer sollten sicherstellen, dass sie eine Firmwareversion ab 4.2.4 (Build 20170313) installiert haben. Alternativ kann der Zugang zum Webinterface über die Ports 8080 und 443 eingeschränkt werden.


eye home zur Startseite
tonictrinker 24. Apr 2017

Das ist eine Art DDNS-Dienst. Allerdings muss man nicht - wie wohl bei anderen manchmal...



Anzeige

Stellenmarkt
  1. SysTec Systemtechnik und Industrieautomation GmbH, Bergheim-Glessen
  2. endica GmbH, Karlsruhe
  3. Scheidt & Bachmann GmbH, Mönchengladbach bei Düsseldorf
  4. KFV Karl Fliether GmbH & Co KG, Velbert


Anzeige
Top-Angebote
  1. 133,95€ (Vergleichspreis ab 181,90€)
  2. (u. a. Ryzen 5 1600X 219,90€, HTC Vive 799,00€, Crucial 525-GB-SSD 124,90€, Be quiet Pure...
  3. 79,90€ statt 124,90€

Folgen Sie uns
       


  1. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  2. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  3. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  4. SteamVR

    Valve zeigt Knuckles-Controller

  5. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu

  6. Galaxy J7 (2017)

    Samsung-Smartphone hat zwei 13-Megapixel-Kameras

  7. Zenscreen MB16AC

    Asus bringt 15,6-Zoll-USB-Monitor für unterwegs

  8. Sonic the Hedgehog

    Sega veröffentlicht seine Spieleklassiker für Smartphones

  9. Monster Hunter World angespielt

    Dicke Dinosauriertränen in 4K

  10. Prime Reading

    Amazon startet dritte Lese-Flatrate in Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sony Xperia XZ Premium im Test: Taschenspiegel mit übertrieben gutem Display
Sony Xperia XZ Premium im Test
Taschenspiegel mit übertrieben gutem Display
  1. Keine Entschädigung Gericht sieht mobiles Internet nicht als lebenswichtig an
  2. LTE Deutsche Telekom führt HD Voice Plus ein
  3. Datenrate Vodafone bietet im LTE-Netz 500 MBit/s

1Sheeld für Arduino angetestet: Sensor-Platine hat keine Sensoren und liefert doch Daten
1Sheeld für Arduino angetestet
Sensor-Platine hat keine Sensoren und liefert doch Daten
  1. Calliope Mini im Test Neuland lernt programmieren
  2. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  3. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif

Mesh- und Bridge-Systeme in der Praxis: Mehr Access Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr Access Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

  1. Re: Konsolenevolution ist besser als echte ps5

    PhilSt | 19:05

  2. Re: Twicht muss die Lizenz haben?

    kampfwombat | 18:53

  3. Re: So langsam wird es was werden mit den...

    bombinho | 18:52

  4. Re: 1703 Taschenrechner macht das auch!

    nille02 | 18:51

  5. Re: Mich beeindruckt das nicht.

    motzerator | 18:46


  1. 17:40

  2. 16:22

  3. 15:30

  4. 14:33

  5. 13:44

  6. 13:16

  7. 12:40

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel