News Manipulierte Hosts: NAS-Systeme von QNAP mit unbekannter Malware infiziert

[autoshot]

Nabend Ich überlege mir gerade, ein NAS anzuschaffen und hatte ursprünglich auch vor, den einen oder anderen Dienst (z.B. Fotos und Videos in der Cloud) darüber laufen zu lassen. Nachdem ich mir den Artikel sowie die Kommentare hier durchgelesen habe bin ich allerdings wieder echt am zweifeln, ob diese Anschaffung wirklich so eine gute Idee ist.
Wenn ich das richtig verstanden hab sollte man es ja tunlichst vermeiden, das NAS so zu konfigurieren, dass man von außerhalb des Heimnetzwerks Zugriff darauf hat. Damit reduziert sich der Nutzwert eines solchen Gerätes (zumindest für mich) aber doch ganz erheblich, dann letztendlich würde das bedeuten, dass ich mehrere hundert € für eine getunte externe Festplatte ausgeben würde. Gibt es denn da keine (praktikable) Lösung, wie man das NAS trotz Remotezugriff sicher betreiben kann?

 

[mambokurt]

Und wie infizieren sich die Systeme? Wir haben hier eins stehen :<.

Na wie wohl, indem sie am Internet hängen
Sind genug Lücken offen geworden letztens die Qnap bestimmt nicht alle gestopft hat, fix vom Netz nehmen und nur noch lokalen Zugriff, in/out am Router blocken für die Ip. Wenns sowas gibt Werksreset und neu aufsetzen(und erstmal nicht wieder ins Internet hängen)...

 

[SKYBW]

Nabend Ich überlege mir gerade, ein NAS anzuschaffen und hatte ursprünglich auch vor, den einen oder anderen Dienst (z.B. Fotos und Videos in der Cloud) darüber laufen zu lassen. Nachdem ich mir den Artikel sowie die Kommentare hier durchgelesen habe bin ich allerdings wieder echt am zweifeln, ob diese Anschaffung wirklich so eine gute Idee ist.
Wenn ich das richtig verstanden hab sollte man es ja tunlichst vermeiden, das NAS so zu konfigurieren, dass man von außerhalb des Heimnetzwerks Zugriff darauf hat. Damit reduziert sich der Nutzwert eines solchen Gerätes (zumindest für mich) aber doch ganz erheblich, dann letztendlich würde das bedeuten, dass ich mehrere hundert € für eine getunte externe Festplatte ausgeben würde. Gibt es denn da keine (praktikable) Lösung, wie man das NAS trotz Remotezugriff sicher betreiben kann?

Siehe Punkt 1 zu VPN in meinem Post. Ist sehr einfach und praktikabel.

https://www.computerbase.de/forum/t...nnter-malware-infiziert.1854910/post-22297262

 

[mambokurt]

Gibt es denn da keine (praktikable) Lösung, wie man das NAS trotz Remotezugriff sicher betreiben kann?

Du kannst entgegen der anderen Flachflieger das ding auf einen anderen Port hängen, das sollte schon fast reichen. Ansonsten ist ein Webserver auf sowas einfach keine gute Idee, wenn würde ich da noch extra ne htaccess davorhängen (aber wenn du dir nicht zutraust einen eigenen rootserver zu betreiben - warum solltest du dir zutrauen dein Nas ans Internet zu hängen? Das Ding ist ein Server im www, ich würd sogar davon ausgehen dass der Trojaner über einen Fehler in der Standardeinstellung reinkommt, schlechtes oder kein pw für den Upload und dann ein php script hochgeladen und noch die Berechtigungen auf Ordner shitty gesetzt, sowas in der Art).

 

[Ravenstein]

@autoshot ich nutze mein nas mit einzelnen Diensten direkt schon seit mehreren Jahren, sehe dabei auch keine größeren Probleme, die Firmware sollte nur immer aktuell sein und unnötige Apps z.b. Musical Station kann man deinstallieren bzw. Deaktivieren.

Mein nas ist ohne Probleme per ftps erreichbar über eine dyndns Adresse.

Netzintern via smb.

 

[Raijin]

Es ist grundsätzlich mit Vorsicht zu genießen, mehrere Dienste aus dem Internet erreichbar zu machen. Das Risiko eines erfolgreichen Angriffs steigt mit jedem weiteren Dienst, den man im Router mittels Portweiterleitung verfügbar macht. Welche Dienste das sind ist dabei vollkommen unerheblich, weil ein einziger verwundbarer Dienst ausreicht, um das komplette Netzwerk zu kompromittieren. Ich persönlich habe von außen daher ausschließlich VPN-Zugriff und kann darüber dann alle Dienste im Netzwerk nutzen, ohne mir über deren eigene Sicherheit, ihren Patchstand, etc Gedanken machen zu müssen.

Auch vermeintlich sichere Dienste können angreifbar sein. Bei SSH steht und fällt die Sicherheit mit der Stärke des Passworts (wenn man denn überhaupt mit Logins arbeitet). VPN an sich ist ebenfalls potentiell angreifbar, wenn zB ein Zertifikat in falsche Hände gerät. Allerdings reduziert sich die Gefahr eines erfolgreichen Angriffs dann auf einen einzigen Dienst, das VPN, und verteilt sich nicht auf ein halbes Dutzend oder gar mehr Dienste, die mal mehr mal weniger verwundbar sind.

 

[Helge01]

@autoshot
Ich würde die Anbindung an das Internet lassen und das NAS hauptsächlich als Datengrab nutzen. Es ist dann immer noch eine sehr gute Backup Lösung. Wenn Dienste erreichbar sein sollen dann eben nur über ein VPN, dieses sollte aber auch nicht das vom NAS sein.

Ich betreibe selbst mehrere öffentliche Webserver, Foren, Nextcloud, XMPP Server und vieles mehr bei mir zu Hause. Eine NAS ins Internet hängen würde ich aber selbst mir nicht zu trauen, da man einen Schweizer Käse selbst mit einer IPS / WAF nicht richtig absichern kann, es bleibt eben ein löchriges, auf null Sicherheit ausgelegtes Stück Software.

Ich habe genau mit diesen Thema beruflich zu tun und mache das für mein Leben gern. Man muss sich täglich mehrere Stunden damit beschäftigen, für mich ist das ein Hobby, für andere wäre das aber eher quälende Arbeit.

 

[autoshot]

Gut dann also VPN Leider fehlt mir hierfür ein geeigneter Router (den ich nicht auch noch anschaffen wollte). Allerdings habe ich einen Mac mini, den ich als OpenVPN-Server betreiben könnte. Wäre das eine Option?

 

[Helge01]

Wenn du auch einen neuen Router anschaffen willst, dann mache es doch gleich richtig. Für das was du vor hast wäre eine pfSense oder OPNsense auf einer APU2C4 genau richtig. Da hast du die Möglichkeit entweder ein IPSec VPN oder OpenVPN oder beides zu aktivieren. Anleitungen gibt es dazu im Netz. Damit hast du gleich mehrere Vorteile, diese Firewalls erhalten regelmäßig Updates und gelten als ziemlich sicher, wenn man selbst keine schwerwiegende Konfigurationsfehler macht. Damit kann man später, wenn der Spieltrieb ein überkommt, auch noch viele andere Sachen machen.

 

[autoshot]

Wenn du auch einen neuen Router anschaffen willst, dann mache es doch gleich richtig.

Das wollte ich mir eben gerne sparen, nachdem NAS + Festplatten ohnehin schon teuer genug werden... Und was bitte ist eine APU2C4!?

 

[Helge01]

Das ist eine relativ potente Hardware für so eine Firewall Lösung.
APU2C4 mit OPNsense

 

[fuyuhasugu]

Und was bitte ist eine APU2C4!?

Wenn du es nicht weißt und deine zukünftige Freizeit auch nicht mit derartigen Basteleien verbringen willst, ignoriere den Rat des Nerds und lass das. Mit einem VPN-fähigen Router für den Hausgebrauch bist du auch auf recht sicher.

 

[Helge01]

Rat des Nerds und lass das.

Danke, du mich auch

In einem Forum für Häkelfreunde würde ich sowas auch nicht empfehlen. In einem Computer Forum kann man wenigsten darauf hinweisen. Was man Schlussendlich macht, ist jeden selbst überlassen.

 

[SKYBW]

Wenn du es nicht weißt und deine zukünftige Freizeit auch nicht mit derartigen Basteleien verbringen willst, ignoriere den Rat des Nerds und lass das. Mit einem VPN-fähigen Router für den Hausgebrauch bist du auch auf recht sicher.

Nenne mir bitte einen Router aus dem SOHO Bereich, der deiner Meinung nach für diesen Einsatz wirklich geeignet ist. Herkömmliche Router haben einfach keine ausreichende Rechenleistung die für VPNs erforderlich ist. Ich habe daheim z.B. 1Gbit down und 200MBit up. Wenn ich eine Fritzbox als Router und VPN Server nutzen würde, kommen grad mal 20 Mbit beim Client an. Mit der APU2C4 und Sophos UTM darauf bekomme ich schon immerhin fast 100Mbit durch den Tunnel. Als Steigerung lasse ich eine virtuelle Maschine auf meinem ESXi Host laufen. 4 vCores je 2,4Ghz und 8GB RAM. Damit habe ich fullspeed durch den Tunnel. Sicherheit ist durch den IPsec Tunnel der Fritzbox ebenfalls da, aber die Tendenz geht nun mal zu höheren Bandbreiten. Wer in einem Dorf wohnt, wo sich Fuchs und Hase gute Nacht sagen, der wird mit DSL16000 (kann sich glücklich schätzen) nicht mehr als einen 0815 Router brauchen. Daher muss man sich im klaren sein, was für Einsatzgebiete man abdecken möchte. Wenn man etwas Luft nach oben freilässt, kann man später noch einiges zusätzlich ohne weitere Kosten nachrüsten, beziehungsweise einfach installieren. Du kaufst dir doch sicher keinen Dacia und erhoffst dir den Komfort und die Funktionen eines Mercedes oder?

Hier geht es nicht um viel Geld. Man muss sich einfach etwas mit dee Materie beschäftigen und dann wird man selbst seine Entscheidung treffen können was man benötigt. Wieso soll ich eine 7490 kaufen, wenn ich für das selbe geld, eine APU2c4 von pcengines.ch bekomme? Selbst wenn man noob ist, gibt es viele tutorials und fertige images für irgendwelche pfsense oder OPNsense Kisten. Aufwand für einen Anfänger max 3h.

Dankeschön

 

[Frank]

Artikel-Update: QNAP hat die Infizierung der eigenen NAS-Systeme durch die unbekannte Malware heute mit einem Sicherheitshinweis bestätigt und arbeitet mit Hochdruck an einer Lösung. Kunden sollen von nun an stetig über Neuigkeiten informiert werden. Einzelheiten zur Malware und wie diese auf das NAS gelangt, hält der Sicherheitshinweis derzeit noch nicht bereit. QNAP empfiehlt allen Nutzern derzeit lediglich ein Update des Malware Removers, des QTS-Betriebssystems und aller installierten Apps auf die neuesten Versionen, was aber nur solange möglich ist, solange die Malware nicht eingeschleust und die Hosts-Datei nicht verändert wurde.

A recently reported malware is known to affect QNAP NAS devices. We are currently analyzing the malware and will provide the solution as soon as possible. If you have any questions regarding this issue, please contact us through the QNAP Helpdesk.

 

[Capthowdy]

Wenn ich eine Fritzbox als Router und VPN Server nutzen würde, kommen grad mal 20 Mbit beim Client an.

So sieht es aus. Für eine Leitung mit 10 Mbit Upload mag das noch reichen, wenns mehr ist, kannste so eine Fritte schnell vergessen. Ich nutze auch UTM als VM auf meinem ESXi und habe Null Probleme mit Performance. Ist halt nicht für jeden was sich einen Server hinzustellen.

 

[Wilhelm14]

Gut dann also VPN Leider fehlt mir hierfür ein geeigneter Router..

Welchen Router hast du, bzw. was für einen Internetanschluss? Für die meisten Upload-Raten reicht eine Fritzbox und ihr VPN aus.

Wenn du es nicht weißt und deine zukünftige Freizeit auch nicht mit derartigen Basteleien verbringen willst, ignoriere den Rat des Nerds und lass das.

Ich musste lachen, kann dir aber zustimmen. So ein Konstrukt muss richtig bedient werden. Von Laien bedient ist das Riskio einer Fehlkonfiguration und damit einhergehender Unsicherheit ungleich höher als bei einer Fritzbox.

 

[SIR_Thomas_TMC]

Ich finde es nun gar nicht toll
Dass QNAP nicht tut was es soll
So hüllt es sich in großes Schweigen
Die Situation zu Vergeigen
Transparenz zu zeigen hier
Wär das A und O bei mir
Ich hoff die die betroffen sind
Machen da mal so richtig Wind
Es darf eigentlich gar nicht sein
QNAP - So ein Schei*verein

Sich zu äußern nur in Reimen,
verdammt ansonst zu schweigen,
sich nimmermehr zu zeigen,
wie Senioren in den Heimen.

Sein Schicksal, denke ich mit Graus,
dicht - er muss bleiben dann zuhaus.

 

[Helge01]

Jetzt ist mir einiges klar. Das ist kein Forum für Häkelfreunde, sondern eins für Poeten und Dichter!
Dann sind solche Themen eher ungeeignet.

 

[Musicon]

bitter, ich benutzte auch eine synology mit allen paketen, nur greife ich NIE aus einem anderem Netzwerk auf diese zu OHNE das ich VPN aktiviert habe, der wiederrum auf meiner Synology als paket verfügbar ist ;P