Sicherheitslücken in Qnap-NAS-Systemen
Qnap hat zurzeit mit gravierenden Sicherheitslücken in seinen NAS- und anderen Systemen zu kämpfen. Durch diese können Angreifer im Fernzugriff potenziell beliebige Anweisungen als Administrator ausführen. Hiervon soll eine Vielzahl der Speicher- als auch der Videoüberwachungssysteme des Herstellers betroffen sein.
So soll eine schwerwiegende Lücke im Web-Server der VioStor- und NAS-Geräte zu finden sein. Der Dienst stellt eine Reihe von Dienstprogrammen bereit, welche im Verzeichnis cgi-bin/ zu finden sind. Zur Sicherheit wurde dieses Verzeichnis mit einem Zugriffsschutz versehen, bei welchem der Benutzername und das dazugehörige Passwort abgefragt werden.
Wie jetzt Tim Herres und David Elze aus dem Offensive-Security-Team der Daimler TSS heraus fanden, schaltet bereits eine Gastkennung den Zugang frei, welcher sich auch über das Benutzer-Interface nicht wieder deaktivieren lässt. Über das dabei erreichbare CGI-Programm create_user.cgi lässt sich über ein Cross Site Request Forgery (CSRF) und durch Eingabe der richtigen Parameter ein neuer Account mit Administrator-Rechten anlegen. Über pingping.cgi können zudem sogar Shell-Befehle mit Root-Rechten ausgeführt werden.
Laut Informationen der Daimler-TSS-Tester sind vor allem Qnap VioStor Netzwerk-Videorekorder bis zur Firmware-Version 4.0.3 betroffen. Dies ist besonders dahin gehend als kritisch anzusehen, da diese Überwachungssysteme vielerorts bei Polizei, Militär oder in geschäftlichen Bereichen wie Banken Verwendung finden. Qnaps NAS-Systeme sind ebenfalls betroffen, wenn auf diesen die Surveillance Station Pro installiert ist.
Das Computer Emergency Response Team (CERT), eine Gruppe von IT-Sicherheitsfachleuten, welche unter anderem Warnungen bezüglich Sicherheitslücken in Computersystemen ausruft, stuft die genannten Sicherheitslücken CVE-2013-0141, CVE-2013-0142 und CVE-2013-0143 in seine höchste Gefahrenstufe CVSS 10 ein. Laut eigenen Informationen arbeitet Qnap bereits an einer Problemlösung und will in nächster Zeit weitere Information folgen lassen.