News Manipulierte Hosts: NAS-Systeme von QNAP mit unbekannter Malware infiziert

Frank schrieb:
QNAP empfiehlt allen Nutzern derzeit lediglich ein Update des Malware Removers, des QTS-Betriebssystems und aller installierten Apps auf die neuesten Versionen, was aber nur solange möglich ist, solange die Malware nicht eingeschleust und die Hosts-Datei nicht verändert wurde.
Danke für den Hinweis. Mit Malware Remover ist diese App gemeint? Ich habe ein Qnap und die App nicht installiert. Was scannt die App? Nur das Betriebssystem des NAS oder auch meinen Datenberg?
Als Hinweis, QTS ist aktuell, die hosts unauffällig, die verdächtige Music-App nicht installiert, die Turbostation nur über VPN hinter einem Router.
 
Häkelfreunde, lach, "Computerforum" ist halt so eine Sache. Hier sind Leute mit 1 Gbit/s synchron unterwegs, die große Datenmengen per VPN hin- und herschieben wollen und andere, die per VPN und 50/10 Mbit/s Anschluss auf ein paar Dokumente, ihre Musik, ein paar Fotos oder einen Film als Stream zugreifen wollen.

Für letztere halte ich eine Fritzbox ziemlich gut geeignet. Allenfalls die zusätzlich benötigte Software auf einem Win10 Client ist ärgerlich.
 
Und was soll der Curl Shellbefehl bringen, wenn die hosts Datei manipuliert wurde und Zugriff auf qnap.com gar nicht mehr möglich ist?
 
Helge01 schrieb:
Danke, du mich auch
Nimm’s als Kompliment. Nicht jeder will das auf dem Niveau, auf dem du es empfiehlst oder auch selbst betreibst. Und nichts anderes habe ich geschrieben.


In einem Forum für Häkelfreunde würde ich sowas auch nicht empfehlen.
In einem Fachforum für Netzwerkexperten sicher nicht. Aber selbst in einem allgemein offenen Forum zu Netzwerktechnik sind halt Leute mit den verschiedensten Ansprüchen und Vorstellungen.
Ergänzung ()

Wilhelm14 schrieb:
Welchen Router hast du bzw. was für einen Internetanschluss? Für die meisten Upload-Raten reicht eine Fritzbox und ihr VPN aus. Von Laien bedient ist das Riskio einer Fehlkonfiguration und damit einhergehender Unsicherheit ungleich höher als bei einer Fritzbox.
Zwei richtige Fragen und drei richtige Punkte.
Ergänzung ()

calippo schrieb:
Hier sind Leute mit 1Gbit/s synchron unterwegs, die große Datenmengen per VPN hin- und herschieben wollen und andere, die per VPN und 50/10 Mbit/s Anschluss auf ein paar Dokumente, ihre Musik, ein paar Fotos oder einen Film als Stream zugreifen wollen.

Ich gehöre zu ersten und eine Freundin mit ihren 200Mbit/s zur zweiten Gruppe. Irgendeine Beschränkung ihres weniger leistungsfähigen Routers bemerkt sie trotzdem nicht bei Musik, Fotos und ähnlichen Medien auf ihrem NAS.
 
Zuletzt bearbeitet:
Verstehe ich das richtig, dass nach aktuellem Stand keine Gefahr besteht, solang mein NAS nicht nach außen geöffnet ist?
Auch nicht über die Auto-Update-Funktion des QTS?
 
Wilhelm14 schrieb:
Welchen Router hast du, bzw. was für einen Internetanschluss?

Derzeit läuft bei mir eine Salt Fiber Box sowie eine Airport TimeCapsule (6G). Internetanschluss ist Salt Fiber mit bis zu 10GBit/s down und up.
 
DenMCX schrieb:
Verstehe ich das richtig, dass nach aktuellem Stand keine Gefahr besteht, solang mein NAS nicht nach außen geöffnet ist?
Was heißt für dich keine Gefahr? So wie ich das verstehe sind weder Angriffsvektor, Funktion sowie Symptome der Malware umfänglich bekannt oder zumindest veröffentlicht. Die hosts-Datei scheint ein Indiz für eine Infektion zu sein, aber ob es das einzige Symptom ist, sei mal dahingestellt. Auch weiß man noch gar nicht was die Malware an sich tut.

Demnach kann man meiner Meinung nach auch noch nicht mit Sicherheit sagen, ob das eigene NAS sauber ist oder nicht, auch wenn die hosts-Datei keine Anzeichen einer Infektion aufweist. Es wurde nämlich zudem von verschiedenen Versionen der Malware gesprochen und evtl. fässt eine frühere Version die hosts-Datei ja noch gar nicht an.

Das Removal-Tool von QNAP scheint ja vor kurzem ein Update bekommen zu haben. Auch das deutet darauf hin, dass die Untersuchungen noch laufen und QNAP sich noch nicht 100%ig sicher ist was wie wo sie zu tun haben, um infizierte Systeme zu bereinigen.

Zwar bin ich persönlich nicht betroffen, weil ich kein QNAP habe, aber wenn dem so wäre, würde ich vermutlich zur Zeit sehr sehr vorsichtig mit der Kiste sein und sie ggfs sogar ausschalten bis Gewissheit herrscht.
 
Qnap arbeitet an Patches um die Lücke zu schließen. Würde als "schwer" eingestuft daher sollte in den kommenden Tagen da auch ein entsprechendes Update kommen
 
DenMCX schrieb:
Verstehe ich das richtig, dass nach aktuellem Stand keine Gefahr besteht, solang mein NAS nicht nach außen geöffnet ist?
Raijin schrieb:
Was heißt für dich keine Gefahr? So wie ich das verstehe sind weder Angriffsvektor, Funktion sowie Symptome der Malware umfänglich bekannt oder zumindest veröffentlicht.

Ich verstehe DenMCX so, dass keine Gefahr besteht wenn das NAS sowieso nicht von aussen erreichbar ist, also keine Ports im Router zur NAS freigegeben sind. Und ich vermute mal über die normalen Updates vom Qnap Server wird die Malware ja nicht hoffentlich gekommen sein.
 
Wenn ein System im lokalen Netzwerk mit unbekannter Malware infiziert ist, besteht auch eine unbekannte Gefahr. Die aktuelle Malware im QNAP wird ja kaum zum Ziel haben, die hosts-Datei zu ändern und sich dann darüber totzulachen, dass keine Updates mehr reinkommen. Malware kann auch von innen heraus agieren, ohne dass das infizierte System explizit von außen erreichbar ist. Abgesehen davon kann die Malware eben auch die Daten auf dem infizierten System angreifen und/oder den Rest des Netzwerks infiltrieren.

Bisher sieht es so aus, dass noch nicht wirklich bekannt ist was die Malware tatsächlich anrichtet. Die hosts-Datei ist ein Indiz, ein Symptom, eine Maßnahme der Entdeckung durch aktualisierte Virenscanner zu entgehen, mehr nicht.
 
  • Gefällt mir
Reaktionen: BalthasarBux
Genau. Ein NAS mag zwar von außen nicht erreichbar sein, aber es kann ja selbst von innen ins Internet und sich selber alles laden und installieren, wenn einmal gekapert. PCs oder Smartphones sind in der Regel auch nicht "von außen" erreichbar, können aber alles laden und ausführen. So wie die Update-Funktion Betriebssystem-, App- und Virendefinitionsupdates laden kann, kann auch Schadsoftware (nach-)geladen werden.
 
Habe gerade mal nachgeschaut, die neueste Version des Malware Removers die QNAP anbietet ist die 3.4.1 vom 29.1.19, d.h. deutlich älter als das "Eingeständnis", das laut Update im Artikel vom 13.2. ist.

Der Malware Remover auf meiner QNAP ist aber v3.3.0 und somit noch deutlich älter.

Jetzt frage ich mich - und hiermit euch - ob es Sinn macht, auf 3.4.1 upzudaten, obwohl klar ist, dass bald ein weiteres Update zu erwarten ist, das das hier angesprochene Problem löst. Oder ob es womöglich sogar irgendeine Gefahr birgt, jetzt auf eine neuere Version upzudaten, bevor der Malware Remover die hier festgestellte Malware tatsächlich entfernen kann. Ich gehe zwar davon aus dass mein System nicht betroffen ist, da es nicht von außen erreichbar ist und keinerlei auffällige Sysmptome zeigt, 100% sicher bin ich mir aber nicht.

???
 
Gibt es schon News zu dem Fall?
Heute wurde zumindest ein Update auf mein TS-453Be ausgerollt
 
BingoXL schrieb:
Gibt es schon News zu dem Fall?
Heute wurde zumindest ein Update auf mein TS-453Be ausgerollt
Ich beobachte dieses Thema auch eine Weile und so wie ich es verstanden habe, adressiert das aktuelle Update nicht den Fehler, der zur Infizierung führt.

Link zur Qnap Seite
 
Mittlerweile ist dieses schon einen Monat her und gibt es denn schon eine neue Meldung von QNAP wegen neuer Firmware ? Ich habe zuhause noch eine "alte" TS-410 und dafür gibt es schon lange keine neue Firmware mehr. Was ist denn mit diesen "älteren" QNAPS; wie sieht es hier mit einem Upgrade aus ? Da sollte ein Premium Hersteller wie QNAP auch Support bieten.

Finde es sehr erschreckend was sich Hersteller in Deutschland alles rausnehmen können. In den USA läuft da die Herstellerhaftung etwas anders. Man kauft CPU`s mit massiven Fehler, Software mit Fehlern, NAS Systeme, Autos mit mit Fehlern uvm... Sorry aber da ist der Gesetzgeber gefordert denen einmal aufzuzeigen wie es geht !
 
Zurück
Oben