Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Command Injection: Qnap-NAS-Geräte…

Wen betrifft das?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Wen betrifft das?

    Autor: Berner Rösti 21.04.17 - 12:44

    Mir fehlt in dem Artikel irgendwie die Information, welche Voraussetzungen erfüllt sein müssen, damit ein Angreifer hier die Kontrolle übernehmen kann.

    Die meisten Anwender dürften ihr NAS doch im lokalen Netz hinter der Firewall des Routers stehen haben, aber ggf. mit Port-Weiterleitung für den Fernzugriff.

  2. Re: Wen betrifft das?

    Autor: elidor 21.04.17 - 13:18

    "Alternativ kann der Zugang zum Webinterface über die Ports 8080 und 443 eingeschränkt werden."

    Ich vermute es betrifft jeden, der 8080 und 443 zum NAS weiterleitet, aber du hast Recht, dass es im Artikel nicht eindeutig steht.

  3. Re: Wen betrifft das?

    Autor: hg (Golem.de) 21.04.17 - 13:26

    Moin,

    klar, wenn das nur lokal im Netzwerk steht kann es nicht aus der Ferne angegriffen werden. Viele Nutzer werden aber ja zum Beispiel DynDNS verwenden, um aus der Ferne zugreifen zu könnnen. Werde das noch präzisieren, danke für den Hinweis.

    VG,

    Hauke Gierow - Golem.de

  4. Re: Wen betrifft das?

    Autor: Berner Rösti 21.04.17 - 13:28

    hg (Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > klar, wenn das nur lokal im Netzwerk steht kann es nicht aus der Ferne
    > angegriffen werden. Viele Nutzer werden aber ja zum Beispiel DynDNS
    > verwenden, um aus der Ferne zugreifen zu könnnen. Werde das noch
    > präzisieren, danke für den Hinweis.

    Es gibt halt auch noch dieses QNAP-Cloud-Gedöns, über das man die Boxen fernsteuern können soll. Da meldet sich das NAS dann am QNAP-Server an und darüber kann man dann irgendwie zugreifen. Hab das noch nie ausprobiert, da mir das zu suspekt ist. ;)

  5. Re: Wen betrifft das?

    Autor: JouMxyzptlk 21.04.17 - 13:42

    Berner Rösti schrieb:
    --------------------------------------------------------------------------------
    > Die meisten Anwender dürften ihr NAS doch im lokalen Netz hinter der
    > Firewall des Routers stehen haben, aber ggf. mit Port-Weiterleitung für den
    > Fernzugriff.

    Mal Fernzugriff außen vor: Die meisten NAS werden für backup genutzt. Inzwischen so dass nur das Backup-Programm mit eigenem Benutzer und Passwort schreiben kann (Crypto-Ransomware). Nicht mal der Admin darf schreiben. Wenn aber so eine Lücke mehr Zugriff erlaubt werden bald die nächsten Crypto Trojaner kommen welche nicht nur alles was im Netz beschreibbar ist verschlüsseln sondern gleich das backup mit, selbst wenn man es brauchbar abgesichert hat. Wohl denjenigen die das NAS wöchentlich wechseln (wie wir es empfehlen wenn wir das einrichten).
    Paranoiderweise müsste man es täglich machen mit 7 oder mehr NAS, aber da kommen dann andere Kosten zum tragen, wie "wieso wird die Datensicherung genauso teuer wie der neue Cluster?".

  6. Re: Wen betrifft das?

    Autor: RemoCH 21.04.17 - 15:58

    Tatsächlich betrifft diese Sicherheitslücke wohl nur die wenigen, deren NAS frei im Internet verfügbar ist, sei es per DynDNS oder C-Name Eintrag. Für all diejenigen, deren NAS wohl beschützt hinter dem Router rumlungert oder nur per VPN erreichbar ist, sollte der aktive Schutz, den die Firewall in Fritz!Box und Co. bietet, in Kombination mit dem passiven Schutz durch Unsichtbarkeit ausreichend sein.

  7. Re: Wen betrifft das?

    Autor: RipClaw 22.04.17 - 03:08

    RemoCH schrieb:
    --------------------------------------------------------------------------------
    > Tatsächlich betrifft diese Sicherheitslücke wohl nur die wenigen, deren NAS
    > frei im Internet verfügbar ist, sei es per DynDNS oder C-Name Eintrag. Für
    > all diejenigen, deren NAS wohl beschützt hinter dem Router rumlungert oder
    > nur per VPN erreichbar ist, sollte der aktive Schutz, den die Firewall in
    > Fritz!Box und Co. bietet, in Kombination mit dem passiven Schutz durch
    > Unsichtbarkeit ausreichend sein.

    Es ist gefährlich sich auf den Schutz durch das NAT und die Firewall des Router zu verlassen. Ein Schädling der es in dein Netz geschafft hat kann dein NAS immer noch angreifen.

    2012 wurde eine Sicherheitslücke in zahlreichen Routern bekannt. Angreifer nutzen seitdem diese Schwachstelle um die DNS Einstellungen zu ändern um Nutzer auf falsche Seiten zu leiten.

    Da die Lücke nur über die Adminoberfläche ausnutzbar ist die in den Standardeinstellungen nur im lokalen Netz aufrufbar ist haben sich viele Nutzer sicher gefühlt. Allerdings haben Angreifer einfach über die Browser der Nutzer den Angriff durchgeführt.

    https://www.heise.de/security/meldung/Mail-hackt-Router-1759354.html

  8. Re: Wen betrifft das?

    Autor: gaelic 22.04.17 - 12:28

    Ich verstehe sowieso niemanden der mehr als SSH nach außen aufmacht? Wozu mehr Ports freigeben?

  9. Re: Wen betrifft das?

    Autor: derdiedas 22.04.17 - 13:40

    Wer ohne VPN eine NAS ins Netz Stellt (Ausnahme - die Daten soll eh jeder lesen dürfen) sollte mit dem Gerät erschlagen werden!

    Obendrein sollten nur Geräte Netzwerkdienste bereitstellen die:

    1. primär dafür gedacht sind
    2. In einer DMZ stehen
    3. Nur Daten enthalten die für den Netzdienst im Internet notwendig sind
    4. Durch Maßnahmen wie Aktuelle Patche, Verschlüsselung, File Integrity Monitoring und Härtung weitestgehend robust sind.

    Wer also ohne oben genannte Maßnahmen die Ports an die NAS Weiterleitet - dem ist schlichtweg nicht mehr zu helfen. Und wenn er das "professionell" macht, sollte er doch vielleicht lieber "schottische" Pommestüten verkaufen.

    Gruß ddd



    2 mal bearbeitet, zuletzt am 22.04.17 13:40 durch derdiedas.

  10. Re: Wen betrifft das?

    Autor: chewbacca0815 24.04.17 - 10:01

    gaelic schrieb:
    --------------------------------------------------------------------------------
    > Ich verstehe sowieso niemanden der mehr als SSH nach außen aufmacht? Wozu
    > mehr Ports freigeben?

    Ja nee, is klar! Ausgerechnet SSH. OK, mehr als das braucht man dann wirklich nicht mehr zu öffnen :o) Das dürfte ähnlich toll sein wie oben geschrieben, die NAS in die DMZ setzen...

  11. Re: Wen betrifft das?

    Autor: tonictrinker 24.04.17 - 11:28

    Berner Rösti schrieb:
    --------------------------------------------------------------------------------
    > Es gibt halt auch noch dieses QNAP-Cloud-Gedöns, über das man die Boxen
    > fernsteuern können soll. Da meldet sich das NAS dann am QNAP-Server an und
    > darüber kann man dann irgendwie zugreifen. Hab das noch nie ausprobiert, da
    > mir das zu suspekt ist. ;)
    Das ist eine Art DDNS-Dienst. Allerdings muss man nicht - wie wohl bei anderen manchmal nötig, sein Admin-PW zur Aktivierung eingeben.

    gaelic schrieb:
    --------------------------------------------------------------------------------
    > Ich verstehe sowieso niemanden der mehr als SSH nach außen aufmacht? Wozu
    > mehr Ports freigeben?
    Weil es mehr kann als nur eine externe Festplatte zu sein?



    1 mal bearbeitet, zuletzt am 24.04.17 11:30 durch tonictrinker.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. SGH Service GmbH, Hildesheim
  2. Rohde & Schwarz Cybersecurity GmbH, Leipzig
  3. SICK AG, Reute bei Freiburg im Breisgau
  4. energy & meteo systems GmbH, Oldenburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)
  2. (u. a. The Big Bang Theory, The Vampire Diaries, True Detective)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

  1. VLC, Kodi, Popcorn Time: Mediaplayer können über Untertitel gehackt werden
    VLC, Kodi, Popcorn Time
    Mediaplayer können über Untertitel gehackt werden

    Untertitel sind praktisch, um Filme in einer fremden Sprache zu sehen oder eine andere Sprache zu lernen. Doch die Art und Weise, wie Mediaplayer damit umgehen, ist offenbar alles andere als sicher - bis jetzt.

  2. Engine: Unity bekommt 400 Millionen US-Dollar Investorengeld
    Engine
    Unity bekommt 400 Millionen US-Dollar Investorengeld

    Der Engine-Hersteller Unity kann weiter wachsen: Der US-Investor Silver Lake Partners steckt rund 400 Millionen US-Dollar in die Firma. Ein großer Teil des Geldes fließt allerdings nicht in neue Technologien - sondern in Autos für die Angestellten.

  3. Neuauflage: Neues Nokia 3310 soll bei Defekt komplett ersetzt werden
    Neuauflage
    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

    Eine Reparatur scheint bei einem Verkaufspreis von 60 Euro nicht zu lohnen: Wie aus der Bedienungsanleitung des neuen Nokia 3310 hervorgeht, wird das Featurephone im Falle eines Defektes nicht repariert, sondern gleich ersetzt. Umweltfreundlich ist das nicht.


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40