Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsDeadBolt: Neue Ransomware verschlüsselt NAS-Systeme von QNAP
QNAP. In Fachkreisen auch Honeypot genannt, wird aber als NAS verkauft. Vergeht ja keine Woche ohne schwere Lücke.
Ne im Ernst. Bin froh damals Synology gekauft zu haben. Beim letzten großen chinesischen Hackerwettbewerb hat es mal keiner reingeschafft.
geht mir genauso ... solche Horror-Geschichten untermauern meine damaligen Entscheidungen total ... Wie kann ich als Privater Kunde bzw. als Gechäftskunde QNAP vertrauen, wenn ständig diverse Lücken auftauchen? Großes Lob an die Synology Mitarbeiter und Synology-Systeme, die auf ich immer ansprechbar wirken und bei mir noch nie zu Problemen geführt haben.
QNAP und Synology sind doch die beiden großen NAS-Hersteller und gleichwertig (je nach Vorliebe). Was mich wundert ist, dass man bei QNAP laufend von Sicherheitsmängeln hört und bei Synology eigentlich sehr selten was. Ist denn Synology so viel besser?
Da kann man den Vergleich Intel/AMD ziehen. Über Intel ließt man auch eher weniger über Bugs als z.B. bei AMD. Hängt halt von den Redakteuren ab, welche Sau sie durchs Dorf treiben.
Ich finde QNAPs vorgehen am besten, dass Nutzer eben sofort informiert werden. Synology informiert erst, wenn sie ein Update bereit haben. Für manche ist es dann aber zu spät.
Ich finde QNAPs vorgehen am besten, dass Nutzer eben sofort informiert werden. Synology informiert erst, wenn sie ein Update bereit haben. Für manche ist es dann aber zu spät.
Gab es bei Synology denn mal so einen Fall wo das nötig gewesen wäre? Besitze meine erst seit 2 Jahren, da habe ich das jedenfalls nicht mitbekommen.
Zum Thema: Was genau heißt hier „von außen erreichbar“? Über den Standardport des NAS? Meine Synology muss von außen erreichbar sein wegen dem Webserver. Weitere Dienste wurden per Reverse Proxy erreichbar gemacht, daher ist sie über 80 bzw. Weiterleitung auf 443 erreichbar. Allerdings nicht über den Standardport 5000/5001.
Das ist leider die Gesamtübersicht aller Apps, die ich im App-Center angezeigt bekomme. Wenn ich nicht völlig blind bin, ist der Security Counselor nicht mit dabei. Über die Suche findet sich auch nichts. Hast Du noch einen anderen Tipp?
UPnP war schon immer ein Einfallstor.
D-Link hatte in seinen Routern deshalb eine eigene Option um Portforwarding temporär für gewisse Aplications zu erlauben.
Ein anderes Problem ist die Zweckentfremdung zum Multifunktionalserver.
Was man daraus lernen sollte ist dass ein NAS nicht ans Internet gehört
und dass nichts ein Backup ersetzen kann ausser noch ein Backup.
Moin! Moin!
Ich habe noch ein altes QNAP TS-219P im Einsatz und mag mich nicht wirklich davon trennen. Aktuell habe ich QTS 4.3.3.1864 build 20211212 installiert. Laut Notes soll CVE-2020-25717 gefixt werden.
Mein QNAP ist ausschließlich im internen Netzwerk erreichbar, besteht trotzdem die Gefahr einer RANDOM Verschlüsselung?
Grundsätzlich kann ein Trojaner ja alles verschlüsseln worauf er schreibend Zugriff hat.
Wenn du dir also etwas am PC einfängst dann sind deine NAS Daten auch gefährdet.
Was man machen könnte wäre den Zugriff auf das NAS nur für einen speziellen Benutzer voll zugänglich zu machen. (inkl. Schreibrechte)
Mit RUNAS am PC und am NAS über Userrechte auf Ordner.
Dann könnten alle Beutzer nur lesen aber nichts reinschreiben.
Ist zwar etwas unkomfortabel aber sicherer.
Ich habe ein Kleinstunternehmen, und das Qnap löste 2014 den 12 Jahre alten Windows Server ab. Wurde vom EDV-Service gekauft und eingerichtet. Und dann immer nur genutzt.
Also vorhin festgestellt, dass noch die originale Firmware von 2014 installiert ist. Update läuft gerade...
Upnp und Bonjour (die Begriffe höre ich übrigens zum ersten Mal) habe ich deaktiviert.
Die restlichen Dinge verstehe ich leider nicht. Kann man das irgendwo einstellen, dass man nicht "von draußen übers Internet" drankommt?
@jof
Hoffentlich fertigst du auch fleißig Backups an. Ansonsten hast du Probleme.
Internetzugriff kannst du sicher am NAS deaktivieren.
Wo genau kann ich dir mangels Gerät nicht sagen.
Notfalls ginge sogar dort den Gateway zu ändern/löschen.
Man sollte aber auch gleichzeitig am Router seine Einstellungen prüfen (lassen).
ggf. könnte man auch dort noch das NAS komplett über die Firewall blockieren.
@eszett.nb
Und vergiss nicht alle überflüssigen Dienste am NAS zu deaktivieren.
Und kontrolliere auch noch alle anderen Einstellungen.
Hmm, laut https://www.qnap.com/en/product/status?product_line=1&bay=2 ist die TS-212P schon seit 2017 EOL, du bekommst noch bis Oktober diesen Jahres Sicherheitsupdates aber durch die ältere QTS-Version wohl keine Chance mehr hier offiziell mittels des Security Counselors zu prüfen.
Schau' dann auf jeden Fall, ob UPnP, Bonjour, Portweiterleitung oder andere Dinge, die du nicht benötigst, wie zB den Webserver, deaktiviert sind.
Gab es bei Synology denn mal so einen Fall wo das nötig gewesen wäre? Besitze meine erst seit 2 Jahren, da habe ich das jedenfalls nicht mitbekommen.
Zum Thema: Was genau heißt hier „von außen erreichbar“? Über den Standardport des NAS? Meine Synology muss von außen erreichbar sein wegen dem Webserver. Weitere Dienste wurden per Reverse Proxy erreichbar gemacht, daher ist sie über 80 bzw. Weiterleitung auf 443 erreichbar. Allerdings nicht über den Standardport 5000/5001.
1. Wenn Kunde das entsprechend konfiguriert, hilft das beste System nichts
2. Soweit ich das verstanden habe, sind vorrangig Systeme betroffen, die man hart ins Internet gehängt hat - Riesenfehler!
Ergänzung ()
Robert. schrieb:
Ich hab ein QNAP NAS und weiß gar nicht, ob man darauf vom Internet aus zugreifen kann.
Muss man das aktivieren oder ist das standardmäßig inaktiv?
Das NAS kann, wie jedes deiner vernetzten Heimgeräte auf Internet zugreifen u. sich mit einem Updateserver verbinden - das heisst allerdings nicht automatisch, dass man aus dem Internet auf das NAS direkt zugreifen kann.
Die Gefahr, die vom zugreifenden Client ausgeht, besteht allerdings davon unabhängig.
Ergänzung ()
jof schrieb:
Die restlichen Dinge verstehe ich leider nicht. Kann man das irgendwo einstellen, dass man nicht "von draußen übers Internet" drankommt?
Oder brauche ich wieder den Spezialisten...?
Wurde ein externen Zugrif eingerichet? Perse ist das nie der Fall u. man muss sowas mit voller Absicht selber erstellen.
Die Fragestellung zeigt, dass sich das zumindest jemand mit Ahnung ansehen sollte - sicherheitshalber.
Hat jemand eine Idee wo ich nach Hilfe such könnte? Die Anleitung von qnap ist von Mitte 2021, komplett auf englisch und zudem sehr schwierig. Stand jetzt habe ich die Netzstecker herausgezogen und werde die NAS nur noch anklemmen, wenn diese keine Verbindung zum Router, also ins Internet hat. Vielleicht hat ja jemand eine Idee wo ich nach Hilfe fragen/suchen kann. Vorab vielen Dank.
Das Kind wird vermutlich im Brunnen sein. Ein RAID ist kein Backup. Bedeutet: auf beiden Festplatten werden die gleichen Daten verschlüsselt sein. Wenn es keine Lebenswichtigen Daten sind kann man ggf. eine verschlüsselte Datei mal auf den Desktop-PC ziehen und den NAS dann abschalten und erstmal beiseite stellen. Oftmals werden nach einiger Zeit Lösungen zum Entschlüsseln kostenlos im Netz zur Verfügung gestellt, womit man die Dateien kostenlos entschlüsseln werden kann. Ansonsten ggf. mal bei QNAP anrufen und um Support bitten. Sollten diese (unwahrscheinlich) den Masterkey kaufen, so wirst du den dann ggf. erhalten können. Im anderen Fall informieren die Dich vielleicht, wenn ein Masterkey (oder ein anderer Weg zum Entschlüsseln der Daten) gefunden wird.
Kommt es mir nur so vor oder herrscht hier wirklich zuweilen die Meinung, dass wenn es eine Firma trift: "Selbst schuld wenn sie sich nicht um Sicherheit kümmern" und wenn es Privatleute trifft: "was für eine riesen Sauerrei!!!111elf"?
Davon ab sieht man an dem Fall schön, dass Zero-Day eigentlich nicht heißt, ab heute sind wir angreifbar. Vielmehr heißt es, seit heute wissen wir, da ist eine Lücke ist und es gibt jemanden, der die schon länger kennt.
Bleibt nur zu sagen, Backups sind wichtig und Backups sind offline*!
Denn es spielt nicht wirklich eine Rolle ob "die Bösen" wegen vergurkter Konfigurationen direkt auf die Systeme gehen oder über die neue, tolle Türklingel mit Kamera, die man auch vom Smartphone aus betrachten kann, oder, oder, oder ....
Danke für den Hinweis @RechargingAnhang anzeigen 1177605Das ist leider die Gesamtübersicht aller Apps, die ich im App-Center angezeigt bekomme. Wenn ich nicht völlig blind bin, ist der Security Counselor nicht mit dabei. Über die Suche findet sich auch nichts. Hast Du noch einen anderen Tipp?
Da sind die knausrigen Kunden auch teilschuld, weil sie den Anspruch haben, für ein paar hundert Euro Hardware und langjährigen Softwaresupport bekommen zu können um NAS, VPN Server, Webserver, Videoüberwachung, etc. damit betreiben zu können und das alles ohne viel eigenes Know-How mitzubringen.
Das ist alles schön und gut mit den empfohlenen Sicherheitsmaßnahmen. Problem ist aber, dass gerade bei etwas älteren Modellen das CloudLink Feature von QNAP nicht richtig funktioniert (braucht man nur einen Blick in die Foren werfen). Der Support von QNAP diesbezüglich ist unterirdisch. Alternative ist also nur https Freigabe oder VPN. Letzteres ist für den persönlichen Gebrauch vielleicht ok, aber gerade NAS-Boxen werden auch häufig benutzt, um z.B. schnell mal etwas mit einem Kunden oder Kollegen zu teilen oder ich möchte etwas von einem System aus herunterladen, wo kein VPN möglich ist. Für mich ist hier die Implementation der https-Weboberfläche von QNAP das Problem. Eine saubere und minimalistische Implementation würde auch wenig Raum für Exploits bieten und sichere Zugangsdaten + opt. 2-Faktor-Auth. + TLS sollten dann bei https-Freigabe überhaupt kein Problem darstellen. Aber wahrscheinlich wird schon seit Jahren lauter Zeug von einer QTS Version zur nächsten mitgezogen, so dass dauernd neue Lücken auftauchen.
1. Wenn Kunde das entsprechend konfiguriert, hilft das beste System nichts
2. Soweit ich das verstanden habe, sind vorrangig Systeme betroffen, die man hart ins Internet gehängt hat - Riesenfehler!
Was für ein Quatsch. Ich will doch weltweit auf meine Daten zugreifen! Ich habe das z.B. mit einem Linux Server, Apache, Nextcloud, No-IP und Port Forwarding gelöst. Dabei habe ich natürlich nur die Ports 80 und 443 freigegeben, wobei Port 80 direkt auf 443 weiter leitet (SSL/TLS only). Will ich von außen mal auf meinen Webserver per SSH zugreifen, so ist Port 22 natürlich nicht offen (der ist vollständig von außen blockiert), sondern dann baue ich eine Wireguard VPN Verbindung in mein Heimnetz auf und greife dann darüber netzintern auf Port 22 SSH zu. Sicherheitskonzept und so. Dazu HSTS, Vollverschlüsselung, User Concept (Apache/Nextcloud user hat keine Rechte die er nicht braucht für den Fall dass ein Angreifer diesen von außen kompromittiert) und aktuelle Open Source Software und du bist ziemlich sicher. (100%ige Sicherheit gibts niemals!)
Wenn ein NAS in dieser Preiskategorie so etwas nicht kann und auch nicht dafür gedacht ist, ist das erbärmlich. Was bringen mir meine Daten nur Zuhause? Gerade das "von unterwegs drauf zugreifen Können" ist doch das tolle an einem Heimserver!
