Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Command Injection: Qnap-NAS-Geräte…

Wen betrifft das?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Wen betrifft das?

    Autor: Berner Rösti 21.04.17 - 12:44

    Mir fehlt in dem Artikel irgendwie die Information, welche Voraussetzungen erfüllt sein müssen, damit ein Angreifer hier die Kontrolle übernehmen kann.

    Die meisten Anwender dürften ihr NAS doch im lokalen Netz hinter der Firewall des Routers stehen haben, aber ggf. mit Port-Weiterleitung für den Fernzugriff.

  2. Re: Wen betrifft das?

    Autor: elidor 21.04.17 - 13:18

    "Alternativ kann der Zugang zum Webinterface über die Ports 8080 und 443 eingeschränkt werden."

    Ich vermute es betrifft jeden, der 8080 und 443 zum NAS weiterleitet, aber du hast Recht, dass es im Artikel nicht eindeutig steht.

  3. Re: Wen betrifft das?

    Autor: hg (Golem.de) 21.04.17 - 13:26

    Moin,

    klar, wenn das nur lokal im Netzwerk steht kann es nicht aus der Ferne angegriffen werden. Viele Nutzer werden aber ja zum Beispiel DynDNS verwenden, um aus der Ferne zugreifen zu könnnen. Werde das noch präzisieren, danke für den Hinweis.

    VG,

    Hauke Gierow - Golem.de

  4. Re: Wen betrifft das?

    Autor: Berner Rösti 21.04.17 - 13:28

    hg (Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > klar, wenn das nur lokal im Netzwerk steht kann es nicht aus der Ferne
    > angegriffen werden. Viele Nutzer werden aber ja zum Beispiel DynDNS
    > verwenden, um aus der Ferne zugreifen zu könnnen. Werde das noch
    > präzisieren, danke für den Hinweis.

    Es gibt halt auch noch dieses QNAP-Cloud-Gedöns, über das man die Boxen fernsteuern können soll. Da meldet sich das NAS dann am QNAP-Server an und darüber kann man dann irgendwie zugreifen. Hab das noch nie ausprobiert, da mir das zu suspekt ist. ;)

  5. Re: Wen betrifft das?

    Autor: JouMxyzptlk 21.04.17 - 13:42

    Berner Rösti schrieb:
    --------------------------------------------------------------------------------
    > Die meisten Anwender dürften ihr NAS doch im lokalen Netz hinter der
    > Firewall des Routers stehen haben, aber ggf. mit Port-Weiterleitung für den
    > Fernzugriff.

    Mal Fernzugriff außen vor: Die meisten NAS werden für backup genutzt. Inzwischen so dass nur das Backup-Programm mit eigenem Benutzer und Passwort schreiben kann (Crypto-Ransomware). Nicht mal der Admin darf schreiben. Wenn aber so eine Lücke mehr Zugriff erlaubt werden bald die nächsten Crypto Trojaner kommen welche nicht nur alles was im Netz beschreibbar ist verschlüsseln sondern gleich das backup mit, selbst wenn man es brauchbar abgesichert hat. Wohl denjenigen die das NAS wöchentlich wechseln (wie wir es empfehlen wenn wir das einrichten).
    Paranoiderweise müsste man es täglich machen mit 7 oder mehr NAS, aber da kommen dann andere Kosten zum tragen, wie "wieso wird die Datensicherung genauso teuer wie der neue Cluster?".

  6. Re: Wen betrifft das?

    Autor: RemoCH 21.04.17 - 15:58

    Tatsächlich betrifft diese Sicherheitslücke wohl nur die wenigen, deren NAS frei im Internet verfügbar ist, sei es per DynDNS oder C-Name Eintrag. Für all diejenigen, deren NAS wohl beschützt hinter dem Router rumlungert oder nur per VPN erreichbar ist, sollte der aktive Schutz, den die Firewall in Fritz!Box und Co. bietet, in Kombination mit dem passiven Schutz durch Unsichtbarkeit ausreichend sein.

  7. Re: Wen betrifft das?

    Autor: RipClaw 22.04.17 - 03:08

    RemoCH schrieb:
    --------------------------------------------------------------------------------
    > Tatsächlich betrifft diese Sicherheitslücke wohl nur die wenigen, deren NAS
    > frei im Internet verfügbar ist, sei es per DynDNS oder C-Name Eintrag. Für
    > all diejenigen, deren NAS wohl beschützt hinter dem Router rumlungert oder
    > nur per VPN erreichbar ist, sollte der aktive Schutz, den die Firewall in
    > Fritz!Box und Co. bietet, in Kombination mit dem passiven Schutz durch
    > Unsichtbarkeit ausreichend sein.

    Es ist gefährlich sich auf den Schutz durch das NAT und die Firewall des Router zu verlassen. Ein Schädling der es in dein Netz geschafft hat kann dein NAS immer noch angreifen.

    2012 wurde eine Sicherheitslücke in zahlreichen Routern bekannt. Angreifer nutzen seitdem diese Schwachstelle um die DNS Einstellungen zu ändern um Nutzer auf falsche Seiten zu leiten.

    Da die Lücke nur über die Adminoberfläche ausnutzbar ist die in den Standardeinstellungen nur im lokalen Netz aufrufbar ist haben sich viele Nutzer sicher gefühlt. Allerdings haben Angreifer einfach über die Browser der Nutzer den Angriff durchgeführt.

    https://www.heise.de/security/meldung/Mail-hackt-Router-1759354.html

  8. Re: Wen betrifft das?

    Autor: gaelic 22.04.17 - 12:28

    Ich verstehe sowieso niemanden der mehr als SSH nach außen aufmacht? Wozu mehr Ports freigeben?

  9. Re: Wen betrifft das?

    Autor: derdiedas 22.04.17 - 13:40

    Wer ohne VPN eine NAS ins Netz Stellt (Ausnahme - die Daten soll eh jeder lesen dürfen) sollte mit dem Gerät erschlagen werden!

    Obendrein sollten nur Geräte Netzwerkdienste bereitstellen die:

    1. primär dafür gedacht sind
    2. In einer DMZ stehen
    3. Nur Daten enthalten die für den Netzdienst im Internet notwendig sind
    4. Durch Maßnahmen wie Aktuelle Patche, Verschlüsselung, File Integrity Monitoring und Härtung weitestgehend robust sind.

    Wer also ohne oben genannte Maßnahmen die Ports an die NAS Weiterleitet - dem ist schlichtweg nicht mehr zu helfen. Und wenn er das "professionell" macht, sollte er doch vielleicht lieber "schottische" Pommestüten verkaufen.

    Gruß ddd



    2 mal bearbeitet, zuletzt am 22.04.17 13:40 durch derdiedas.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. über Ratbacher GmbH, Raum Wiesbaden
  2. T-Systems International GmbH, Berlin
  3. ResMed, Martinsried Raum München
  4. Siltronic AG, Burghausen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. und Halo Wars 2 + zwei weitere Games gratis erhalten + dank Nvidia-Aktion Tom Clancy’s Ghost...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Linux auf dem Switch: Freiheit kann ganz schön kompliziert sein!
Linux auf dem Switch
Freiheit kann ganz schön kompliziert sein!
  1. Digital Ocean Cloud-Hoster löscht versehentlich Primärdatenbank
  2. Google Cloud Platform für weitere Microsoft-Produkte angepasst
  3. Marktforschung Cloud-Geschäft wächst rasant, Amazon dominiert den Markt

Radeon RX 580 und RX 570 im Test: AMDs Grafikkarten sind schneller und sparsamer
Radeon RX 580 und RX 570 im Test
AMDs Grafikkarten sind schneller und sparsamer
  1. Grafikkarten AMD bringt vier neue alte Radeons für Komplett-PCs
  2. Grafikkarten AMD stellt Radeon RX 560 und Radeon RX 550 vor
  3. Grafikkarte AMDs Radeon RX 580 nutzt einen 8-Pol-Stromanschluss

Galaxy S8 vs. LG G6: Duell der Pflichterfüller
Galaxy S8 vs. LG G6
Duell der Pflichterfüller
  1. Smartphones Es wird eine spezielle Microsoft Edition des Galaxy S8 geben
  2. Galaxy S8 und S8+ im Kurztest Samsung setzt auf langgezogenes Display und Bixby
  3. Smartphones Samsungs Galaxy S8 könnte teuer werden

  1. UEFI-Update: Agesa 1004a lässt Ryzen-Boards schneller booten
    UEFI-Update
    Agesa 1004a lässt Ryzen-Boards schneller booten

    Mittlerweile haben die meisten Mainboard-Hersteller neue UEFI-Versionen für ihre Ryzen-Platinen veröffentlicht. Diese nutzen die Agesa 1004a, die Microcode enthält, der den Systemstart beschleunigt und die DDR4-Kompatibilität verbessert und den FMA3-SMT-Fehler unter Windows behebt.

  2. Sledgehammer Games: Call of Duty WWII spielt wieder im Zweiten Weltkrieg
    Sledgehammer Games
    Call of Duty WWII spielt wieder im Zweiten Weltkrieg

    Activion hat ein neues CoD angekündigt: Call of Duty WWII ist wie die frühen Teile im Zweiten Weltkrieg angesiedelt. Der Shooter soll einen Singleplayer, einen Coop- und einen Multiplayer-Modus enthalten. Erstes Material gibt es schon in wenigen Tagen.

  3. Mobilfunk: Patentverwerter klagt gegen Apple und Mobilfunkanbieter
    Mobilfunk
    Patentverwerter klagt gegen Apple und Mobilfunkanbieter

    Achtung, Patenttroll! Apple und mehrere Mobilfunkanbieter sind in den USA verklagt worden, weil sie vier Patente von Nokia verletzt haben sollen. Kläger ist aber nicht Nokia selbst, sondern ein bekannter Patentverwerter.


  1. 12:40

  2. 11:55

  3. 15:19

  4. 13:40

  5. 11:00

  6. 09:03

  7. 18:01

  8. 17:08