News DeadBolt: Neue Ransomware ver­schlüs­selt NAS-Systeme von QNAP

[Frank]

Nachdem QNAP Anfang Januar vor Ransomware-Angriffen auf die hauseigenen NAS-Systeme gewarnt und kurz darauf Sicherheitslücken in den NAS-Betriebssystemen QTS und QuTS hero sowie Apps geschlossen hatte, die das Ausführen beliebigen Codes ermöglichten, tauchen seit gestern Angriffe auf QNAP-NAS auf, die diese verschlüsseln.

Zur News: DeadBolt: Neue Ransomware ver­schlüs­selt NAS-Systeme von QNAP

 

[aid0nex]

Na super. Da kaufst du dir eine teure Komplettlösung von solch einem spezialisierten Hersteller wie QNAP und dann sowas... Da wird ja wohl jeder mit einer billigen Frickellösung aka Linux Heimserver & Nextcloud sicherer unterwegs sein.^^ Marketingtechnisch ein absoluter Totalschaden!

Ergänzung (26. Januar 2022)

Ich wünsche QNAP dass sie die Lücke schließen können, den Kunden dass sie unversehrt bleiben und den Verbrechern ihre gerechte Strafe, auch wenn letzteres ziemlich unwahrscheinlich sein dürfte!

 

[DocAimless]

Da wird ja wohl jeder mit einer billigen Frickellösung aka Linux Heimserver & Nextcloud sicherer unterwegs sein.

Auch da kann es zu solchen Lücken kommen, siehe einfach die Polkit Lücke unter Linux.

Für Käufer eines QNAP Systems ist dies natürlich, das schlimmste was passieren kann. Da kann man nur hoffen, dass die Leute auch Backups ihres NAS machen. Was ich mich frage, kann man als Kunde da QNAP Haftbar machen bzw. erwarten das sie einem das NAS wieder zugänglich machen?

 

[aid0nex]

@DocAimless Nur da bezahlt man nicht so viel für ein Rundum-Sorglos-Paket^^ Genau so ein Worst Case erwartet man da nicht. Die Haftung ist echt eine gute Frage....

 

[deollz]

Auch da kann es zu solchen Lücken kommen, siehe einfach die Polkit Lücke unter Linux.

Nein, da muss ein Zugriff auf das System (user account) vorhanden sein, diese Aussage stimmt so also nicht.

Ergänzung (26. Januar 2022)

Und eine Frickellösung, würde ich jeder doch so angeblichen spezifischer Softwarelösung eines Herstellers vorziehen.

 

[Mickey Cohen]

Auch da kann es zu solchen Lücken kommen, siehe einfach die Polkit Lücke unter Linux.

Für Käufer eines QNAP Systems ist dies natürlich, das schlimmste was passieren kann. Da kann man nur hoffen, dass die Leute auch Backups ihres NAS machen. Was ich mich frage, kann man als Kunde da QNAP Haftbar machen bzw. erwarten das sie einem das NAS wieder zugänglich machen?

das wäre mMn. ein fall des schadensersatzes neben der leistung. kurz gesagt: einfache unwissenheit, unfähigkeit, schlamperei reicht dafür idr. nicht aus.

 

[Forum-Fraggle]

Menschen können echt asozial sein.

 

[xexex]

Da wird ja wohl jeder mit einer billigen Frickellösung aka Linux Heimserver & Nextcloud sicherer unterwegs sein.^^

Hat man ja bei der Log4j Lücke gesehen!

Keine Software ist sicher und je weiter verbreitet und umfangreicher etwas ist, desto mehr Sicherheitslücken beinhaltet es auch. Wer eine möglichst hohe Sicherheit benötigt, richtet den Zugang per VPN und sichert seine Daten regelmäßig auf ein offline System.

Zu verteidigen gibt es hier trotzdem nichts, bleibt zu hoffen, das möglichst wenige Systeme betroffen sind und die Lücke schnellstmöglich geschlossen wird.

 

[h3@d1355_h0r53]

QNAP. In Fachkreisen auch Honeypot genannt, wird aber als NAS verkauft. Vergeht ja keine Woche ohne schwere Lücke.
Ne im Ernst. Bin froh damals Synology gekauft zu haben. Beim letzten großen chinesischen Hackerwettbewerb hat es mal keiner reingeschafft.

 

[DocAimless]

@deollz: Ich wollte mit dem Beispiel nur zeigen/sagen das Linux bzw. Nextcloud nicht das Allheilmittel ist den jedes System/Software hat/kann Schwachstellen haben.
Es zeigt einem einfach nur wieder, dass man von wichtigen Daten immer Offline Backups haben sollte und diese auch regelmäßig durchführt.

 

[Mickey Cohen]

Nein, da muss ein Zugriff auf das System (user account) vorhanden sein, diese Aussage stimmt so also nicht.

Ergänzung (26. Januar 2022)

Und eine Frickellösung, würde ich jeder doch so angeblichen spezifischer Softwarelösung eines Herstellers vorziehen.

ein gewichtiger punkt der für dich spricht ist, dass eine frickellösung idr. 1. meist relativ aktuelle open source pakete verwendet und 2. eben individuell ist.

wenn ich als hacker vor der wahl stehen würde, ob ich einen hack für ein system entwickle, das millionenfach in gleicher konfiguration (i.s.v. softwarepaketen) vorhanden ist, oder "ein" system, das softwaremäßig divers aufgebaut ist und idr. von leuten betrieben wird, die auf aktuelle software achten betrieben wird, entscheide ich mich für ersteres.

einziger nachteil (in punkto sicherheit) der frickellösung ist, dass die zahlreichen default-einstellungen u.U. erst durch den nutzer sicher eingestellt werden müssen.

 

[Splatter0815]

Was heisst es genau von aussen nicht zugänglich machen? Den Port 80/443/8080?
Wenn man zum Beispiel ein HBS Target einrichtet, sollte der Port 8899 zumindest auf dem Router freigeschalten werden. Somit ist man erreichbar von aussen.
Reicht das schon aus für die Ransomware?
Ich denke es wird Port 80/8080 und der Admin Account benötigt, damit da was geht, oder?

 

[homer0815]

Vor allem Nextcloud und sicher ...
Ich habe es zwar selbst in einer DMZ VM laufen, aber auch die greift nur Read Only auf meine NFS Shares +1TB Platz im VM Container zu.
Ich trau dem Kram nicht.

https://www.cvedetails.com/vulnerab...913/product_id-34622/Nextcloud-Nextcloud.html
Dazu noch die Flaws von PHP.

 

[Wilhelm14]

Da wird ja wohl jeder mit einer billigen Frickellösung aka Linux Heimserver & Nextcloud sicherer unterwegs sein.

Wird er nicht. Bei Fertiglösungen reagiert der Hersteller, macht den Nutzer drauf aufmerksam, schließt die Lücke und spielt das Update selbst ein. Bei der Selbstbaulösung bekommst du solche Lücken nicht so offensichtlich über diverse Kanäle mit und musst dich später noch selber darum kümmern. Bin ich betroffen, bin ich nicht, wie löse ich das...?

 

[Mickey Cohen]

Wird er nicht. Bei Fertiglösungen reagiert der Hersteller, macht den Nutzer drauf aufmerksam, schließt die Lücke und spielt das Update selbst ein. Bei der Selbstbaulösung bekommst du solche Lücken nicht so offensichtlich über diverse Kanäle mit und musst dich später noch selber darum kümmern. Bin ich betroffen, bin ich nicht, wie löse ich das...?

sudo apt/dnf/... upgrade

 

[wern001]

um eine NAS zu verschlüsseln brauch man keine Sicherheitslücke. Es reicht doch aus wenn ein PC das über die SMB Freigabe macht.

 

[Andi_bz]

Da wird ja wohl jeder mit einer billigen Frickellösung aka Linux Heimserver & Nextcloud sicherer unterwegs sein.^^

Frickellösung ist es erst, wenn man nicht weis, was man tut.

Bin ich betroffen, bin ich nicht, wie löse ich das...?

Unattended-Upgrade die Security Updates aktivieren z.B.

 

[deollz]

Wird er nicht. Bei Fertiglösungen reagiert der Hersteller, macht den Nutzer drauf aufmerksam, schließt die Lücke und spielt das Update selbst ein. Bei der Selbstbaulösung bekommst du solche Lücken nicht so offensichtlich über diverse Kanäle mit und musst dich später noch selber darum kümmern. Bin ich betroffen, bin ich nicht, wie löse ich das...?

Deine Meinung, in der Regel löst man Probleme mit Hirn und dann funktioniert das auch, besser als das was so manche Hersteller präsentieren.
Man kann alles gegentesten und überprüfen, ist halt Arbeit und Hirn erforderlich.

 

[Robert.]

Ich hab ein QNAP NAS und weiß gar nicht, ob man darauf vom Internet aus zugreifen kann.
Muss man das aktivieren oder ist das standardmäßig inaktiv?
Wie kann ich das Update installieren, ohne das NAS mit dem Internet zu verbinden?

@CB: Danke für die Meldungen dazu !

 

[Wattwanderer]

Stehen wirklich so viele dieser Geräte im Internet? Warum macht man es?

NAS würde ich eher als Datenhalde für LAN sehen und wenn Zugriff aus dem Internet möglich sein soll geschieht das über VPN?

Fette Internetleitungen sind immer noch teurer als Bandbreite/Speicher beim Clouddienst zu mieten wenn man unbedingt eigene Cloud will?

Ansonsten staune ich immer wieder wie QNAP es schafft so regelmäßig solche Meldungen zu produzieren im Gegensatz zu Synology von denen man in dieser Richtung seltener hört. Ist sie deutlich größer als Synology und daher attraktiveres Ziel?