Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Command Injection: Qnap-NAS-Geräte…

Wen betrifft das?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Wen betrifft das?

    Autor: Berner Rösti 21.04.17 - 12:44

    Mir fehlt in dem Artikel irgendwie die Information, welche Voraussetzungen erfüllt sein müssen, damit ein Angreifer hier die Kontrolle übernehmen kann.

    Die meisten Anwender dürften ihr NAS doch im lokalen Netz hinter der Firewall des Routers stehen haben, aber ggf. mit Port-Weiterleitung für den Fernzugriff.

  2. Re: Wen betrifft das?

    Autor: elidor 21.04.17 - 13:18

    "Alternativ kann der Zugang zum Webinterface über die Ports 8080 und 443 eingeschränkt werden."

    Ich vermute es betrifft jeden, der 8080 und 443 zum NAS weiterleitet, aber du hast Recht, dass es im Artikel nicht eindeutig steht.

  3. Re: Wen betrifft das?

    Autor: hg (Golem.de) 21.04.17 - 13:26

    Moin,

    klar, wenn das nur lokal im Netzwerk steht kann es nicht aus der Ferne angegriffen werden. Viele Nutzer werden aber ja zum Beispiel DynDNS verwenden, um aus der Ferne zugreifen zu könnnen. Werde das noch präzisieren, danke für den Hinweis.

    VG,

    Hauke Gierow - Golem.de

  4. Re: Wen betrifft das?

    Autor: Berner Rösti 21.04.17 - 13:28

    hg (Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > klar, wenn das nur lokal im Netzwerk steht kann es nicht aus der Ferne
    > angegriffen werden. Viele Nutzer werden aber ja zum Beispiel DynDNS
    > verwenden, um aus der Ferne zugreifen zu könnnen. Werde das noch
    > präzisieren, danke für den Hinweis.

    Es gibt halt auch noch dieses QNAP-Cloud-Gedöns, über das man die Boxen fernsteuern können soll. Da meldet sich das NAS dann am QNAP-Server an und darüber kann man dann irgendwie zugreifen. Hab das noch nie ausprobiert, da mir das zu suspekt ist. ;)

  5. Re: Wen betrifft das?

    Autor: JouMxyzptlk 21.04.17 - 13:42

    Berner Rösti schrieb:
    --------------------------------------------------------------------------------
    > Die meisten Anwender dürften ihr NAS doch im lokalen Netz hinter der
    > Firewall des Routers stehen haben, aber ggf. mit Port-Weiterleitung für den
    > Fernzugriff.

    Mal Fernzugriff außen vor: Die meisten NAS werden für backup genutzt. Inzwischen so dass nur das Backup-Programm mit eigenem Benutzer und Passwort schreiben kann (Crypto-Ransomware). Nicht mal der Admin darf schreiben. Wenn aber so eine Lücke mehr Zugriff erlaubt werden bald die nächsten Crypto Trojaner kommen welche nicht nur alles was im Netz beschreibbar ist verschlüsseln sondern gleich das backup mit, selbst wenn man es brauchbar abgesichert hat. Wohl denjenigen die das NAS wöchentlich wechseln (wie wir es empfehlen wenn wir das einrichten).
    Paranoiderweise müsste man es täglich machen mit 7 oder mehr NAS, aber da kommen dann andere Kosten zum tragen, wie "wieso wird die Datensicherung genauso teuer wie der neue Cluster?".

  6. Re: Wen betrifft das?

    Autor: RemoCH 21.04.17 - 15:58

    Tatsächlich betrifft diese Sicherheitslücke wohl nur die wenigen, deren NAS frei im Internet verfügbar ist, sei es per DynDNS oder C-Name Eintrag. Für all diejenigen, deren NAS wohl beschützt hinter dem Router rumlungert oder nur per VPN erreichbar ist, sollte der aktive Schutz, den die Firewall in Fritz!Box und Co. bietet, in Kombination mit dem passiven Schutz durch Unsichtbarkeit ausreichend sein.

  7. Re: Wen betrifft das?

    Autor: RipClaw 22.04.17 - 03:08

    RemoCH schrieb:
    --------------------------------------------------------------------------------
    > Tatsächlich betrifft diese Sicherheitslücke wohl nur die wenigen, deren NAS
    > frei im Internet verfügbar ist, sei es per DynDNS oder C-Name Eintrag. Für
    > all diejenigen, deren NAS wohl beschützt hinter dem Router rumlungert oder
    > nur per VPN erreichbar ist, sollte der aktive Schutz, den die Firewall in
    > Fritz!Box und Co. bietet, in Kombination mit dem passiven Schutz durch
    > Unsichtbarkeit ausreichend sein.

    Es ist gefährlich sich auf den Schutz durch das NAT und die Firewall des Router zu verlassen. Ein Schädling der es in dein Netz geschafft hat kann dein NAS immer noch angreifen.

    2012 wurde eine Sicherheitslücke in zahlreichen Routern bekannt. Angreifer nutzen seitdem diese Schwachstelle um die DNS Einstellungen zu ändern um Nutzer auf falsche Seiten zu leiten.

    Da die Lücke nur über die Adminoberfläche ausnutzbar ist die in den Standardeinstellungen nur im lokalen Netz aufrufbar ist haben sich viele Nutzer sicher gefühlt. Allerdings haben Angreifer einfach über die Browser der Nutzer den Angriff durchgeführt.

    https://www.heise.de/security/meldung/Mail-hackt-Router-1759354.html

  8. Re: Wen betrifft das?

    Autor: gaelic 22.04.17 - 12:28

    Ich verstehe sowieso niemanden der mehr als SSH nach außen aufmacht? Wozu mehr Ports freigeben?

  9. Re: Wen betrifft das?

    Autor: derdiedas 22.04.17 - 13:40

    Wer ohne VPN eine NAS ins Netz Stellt (Ausnahme - die Daten soll eh jeder lesen dürfen) sollte mit dem Gerät erschlagen werden!

    Obendrein sollten nur Geräte Netzwerkdienste bereitstellen die:

    1. primär dafür gedacht sind
    2. In einer DMZ stehen
    3. Nur Daten enthalten die für den Netzdienst im Internet notwendig sind
    4. Durch Maßnahmen wie Aktuelle Patche, Verschlüsselung, File Integrity Monitoring und Härtung weitestgehend robust sind.

    Wer also ohne oben genannte Maßnahmen die Ports an die NAS Weiterleitet - dem ist schlichtweg nicht mehr zu helfen. Und wenn er das "professionell" macht, sollte er doch vielleicht lieber "schottische" Pommestüten verkaufen.

    Gruß ddd



    2 mal bearbeitet, zuletzt am 22.04.17 13:40 durch derdiedas.

  10. Re: Wen betrifft das?

    Autor: chewbacca0815 24.04.17 - 10:01

    gaelic schrieb:
    --------------------------------------------------------------------------------
    > Ich verstehe sowieso niemanden der mehr als SSH nach außen aufmacht? Wozu
    > mehr Ports freigeben?

    Ja nee, is klar! Ausgerechnet SSH. OK, mehr als das braucht man dann wirklich nicht mehr zu öffnen :o) Das dürfte ähnlich toll sein wie oben geschrieben, die NAS in die DMZ setzen...

  11. Re: Wen betrifft das?

    Autor: tonictrinker 24.04.17 - 11:28

    Berner Rösti schrieb:
    --------------------------------------------------------------------------------
    > Es gibt halt auch noch dieses QNAP-Cloud-Gedöns, über das man die Boxen
    > fernsteuern können soll. Da meldet sich das NAS dann am QNAP-Server an und
    > darüber kann man dann irgendwie zugreifen. Hab das noch nie ausprobiert, da
    > mir das zu suspekt ist. ;)
    Das ist eine Art DDNS-Dienst. Allerdings muss man nicht - wie wohl bei anderen manchmal nötig, sein Admin-PW zur Aktivierung eingeben.

    gaelic schrieb:
    --------------------------------------------------------------------------------
    > Ich verstehe sowieso niemanden der mehr als SSH nach außen aufmacht? Wozu
    > mehr Ports freigeben?
    Weil es mehr kann als nur eine externe Festplatte zu sein?



    1 mal bearbeitet, zuletzt am 24.04.17 11:30 durch tonictrinker.

  12. Re: Wen betrifft das?

    Autor: Suppengruen 06.07.17 - 09:30

    Hinter Dir... ein dreiköpfiger Terrorist! :O

  13. Re: Wen betrifft das?

    Autor: Suppengruen 06.07.17 - 09:37

    zumal man erwähnen sollte, dass ein Firmwareupdate bei QNAS Systemen auch in einem Totalverlust des bestehenden Setups enden kann.

    Bei mir war nach dem Update Twonky weg, PostgresSQL Support wurde eingestellt und diverse ander Unschönheiten, alles nur m.E. um den Einzug vieler bunter Ikonen und weniger Funktionen zu rechtfertigen.
    Was für einen Endverbraucher Nutzer noch mit einem blauen Auge endet kann im Ernstfall auf diese Weise einen SOHO User mal eben die Existenz kosten.
    Fazit, ich brauche nun danke der "intuitiven" Umgebung rund 5 mal so lang wie vorher um meine Prozesse abzuwirtschaften. Danke QNAP *Thumbsup*

    Ich frage mich, ob ich mir da nicht lieber den Virus einfange.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Ratbacher GmbH, Wolfsburg
  2. Haufe Gruppe, Freiburg im Breisgau
  3. Blue Yonder GmbH & Co. KG, Karlsruhe, Hamburg
  4. TKI Automotive GmbH, Ingolstadt, Gaimersheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. 7,49€
  3. 109,99€/119,99€ (Vorbesteller-Preisgarantie)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. KB4034658: Anniversary-Update-Update macht Probleme mit WSUS
    KB4034658
    Anniversary-Update-Update macht Probleme mit WSUS

    Durch einen Fehler in einem kürzlich veröffentlichten Update-Paket für Windows 10 Version 1607 (Anniversary Update), können Clients die Verbindung zum Windows Server Update Services verlieren. Microsoft sucht nach der Lösung.

  2. Container: Githubs Kubernetes-Cluster überlebt regelmäßige Kernel-Panic
    Container
    Githubs Kubernetes-Cluster überlebt regelmäßige Kernel-Panic

    Der fast ein Jahrzehnt alte monolithische Stack von Github ist in nur wenigen Monaten auf die Container-Orchestrierung Kubernetes migriert worden. Interessant daran sind vor allem die dabei aufgefundenen Fehler, deren Lösungen und die beschriebene Vorteile.

  3. Radeon RX Vega: Mining-Treiber steigert MH/s deutlich
    Radeon RX Vega
    Mining-Treiber steigert MH/s deutlich

    AMD hat für die Radeon RX Vega einen Treiber veröffentlicht, der das Schürfen von Kryptowährungen wie Ethereum beschleunigt. Auch ältere Grafikkarten profitieren unter Umständen.


  1. 13:31

  2. 13:14

  3. 12:45

  4. 12:23

  5. 12:01

  6. 11:55

  7. 11:45

  8. 11:40