Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Command Injection: Qnap-NAS-Geräte…

Wen betrifft das?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Wen betrifft das?

    Autor: Berner Rösti 21.04.17 - 12:44

    Mir fehlt in dem Artikel irgendwie die Information, welche Voraussetzungen erfüllt sein müssen, damit ein Angreifer hier die Kontrolle übernehmen kann.

    Die meisten Anwender dürften ihr NAS doch im lokalen Netz hinter der Firewall des Routers stehen haben, aber ggf. mit Port-Weiterleitung für den Fernzugriff.

  2. Re: Wen betrifft das?

    Autor: elidor 21.04.17 - 13:18

    "Alternativ kann der Zugang zum Webinterface über die Ports 8080 und 443 eingeschränkt werden."

    Ich vermute es betrifft jeden, der 8080 und 443 zum NAS weiterleitet, aber du hast Recht, dass es im Artikel nicht eindeutig steht.

  3. Re: Wen betrifft das?

    Autor: hg (Golem.de) 21.04.17 - 13:26

    Moin,

    klar, wenn das nur lokal im Netzwerk steht kann es nicht aus der Ferne angegriffen werden. Viele Nutzer werden aber ja zum Beispiel DynDNS verwenden, um aus der Ferne zugreifen zu könnnen. Werde das noch präzisieren, danke für den Hinweis.

    VG,

    Hauke Gierow - Golem.de

  4. Re: Wen betrifft das?

    Autor: Berner Rösti 21.04.17 - 13:28

    hg (Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > klar, wenn das nur lokal im Netzwerk steht kann es nicht aus der Ferne
    > angegriffen werden. Viele Nutzer werden aber ja zum Beispiel DynDNS
    > verwenden, um aus der Ferne zugreifen zu könnnen. Werde das noch
    > präzisieren, danke für den Hinweis.

    Es gibt halt auch noch dieses QNAP-Cloud-Gedöns, über das man die Boxen fernsteuern können soll. Da meldet sich das NAS dann am QNAP-Server an und darüber kann man dann irgendwie zugreifen. Hab das noch nie ausprobiert, da mir das zu suspekt ist. ;)

  5. Re: Wen betrifft das?

    Autor: JouMxyzptlk 21.04.17 - 13:42

    Berner Rösti schrieb:
    --------------------------------------------------------------------------------
    > Die meisten Anwender dürften ihr NAS doch im lokalen Netz hinter der
    > Firewall des Routers stehen haben, aber ggf. mit Port-Weiterleitung für den
    > Fernzugriff.

    Mal Fernzugriff außen vor: Die meisten NAS werden für backup genutzt. Inzwischen so dass nur das Backup-Programm mit eigenem Benutzer und Passwort schreiben kann (Crypto-Ransomware). Nicht mal der Admin darf schreiben. Wenn aber so eine Lücke mehr Zugriff erlaubt werden bald die nächsten Crypto Trojaner kommen welche nicht nur alles was im Netz beschreibbar ist verschlüsseln sondern gleich das backup mit, selbst wenn man es brauchbar abgesichert hat. Wohl denjenigen die das NAS wöchentlich wechseln (wie wir es empfehlen wenn wir das einrichten).
    Paranoiderweise müsste man es täglich machen mit 7 oder mehr NAS, aber da kommen dann andere Kosten zum tragen, wie "wieso wird die Datensicherung genauso teuer wie der neue Cluster?".

  6. Re: Wen betrifft das?

    Autor: RemoCH 21.04.17 - 15:58

    Tatsächlich betrifft diese Sicherheitslücke wohl nur die wenigen, deren NAS frei im Internet verfügbar ist, sei es per DynDNS oder C-Name Eintrag. Für all diejenigen, deren NAS wohl beschützt hinter dem Router rumlungert oder nur per VPN erreichbar ist, sollte der aktive Schutz, den die Firewall in Fritz!Box und Co. bietet, in Kombination mit dem passiven Schutz durch Unsichtbarkeit ausreichend sein.

  7. Re: Wen betrifft das?

    Autor: RipClaw 22.04.17 - 03:08

    RemoCH schrieb:
    --------------------------------------------------------------------------------
    > Tatsächlich betrifft diese Sicherheitslücke wohl nur die wenigen, deren NAS
    > frei im Internet verfügbar ist, sei es per DynDNS oder C-Name Eintrag. Für
    > all diejenigen, deren NAS wohl beschützt hinter dem Router rumlungert oder
    > nur per VPN erreichbar ist, sollte der aktive Schutz, den die Firewall in
    > Fritz!Box und Co. bietet, in Kombination mit dem passiven Schutz durch
    > Unsichtbarkeit ausreichend sein.

    Es ist gefährlich sich auf den Schutz durch das NAT und die Firewall des Router zu verlassen. Ein Schädling der es in dein Netz geschafft hat kann dein NAS immer noch angreifen.

    2012 wurde eine Sicherheitslücke in zahlreichen Routern bekannt. Angreifer nutzen seitdem diese Schwachstelle um die DNS Einstellungen zu ändern um Nutzer auf falsche Seiten zu leiten.

    Da die Lücke nur über die Adminoberfläche ausnutzbar ist die in den Standardeinstellungen nur im lokalen Netz aufrufbar ist haben sich viele Nutzer sicher gefühlt. Allerdings haben Angreifer einfach über die Browser der Nutzer den Angriff durchgeführt.

    https://www.heise.de/security/meldung/Mail-hackt-Router-1759354.html

  8. Re: Wen betrifft das?

    Autor: gaelic 22.04.17 - 12:28

    Ich verstehe sowieso niemanden der mehr als SSH nach außen aufmacht? Wozu mehr Ports freigeben?

  9. Re: Wen betrifft das?

    Autor: derdiedas 22.04.17 - 13:40

    Wer ohne VPN eine NAS ins Netz Stellt (Ausnahme - die Daten soll eh jeder lesen dürfen) sollte mit dem Gerät erschlagen werden!

    Obendrein sollten nur Geräte Netzwerkdienste bereitstellen die:

    1. primär dafür gedacht sind
    2. In einer DMZ stehen
    3. Nur Daten enthalten die für den Netzdienst im Internet notwendig sind
    4. Durch Maßnahmen wie Aktuelle Patche, Verschlüsselung, File Integrity Monitoring und Härtung weitestgehend robust sind.

    Wer also ohne oben genannte Maßnahmen die Ports an die NAS Weiterleitet - dem ist schlichtweg nicht mehr zu helfen. Und wenn er das "professionell" macht, sollte er doch vielleicht lieber "schottische" Pommestüten verkaufen.

    Gruß ddd



    2 mal bearbeitet, zuletzt am 22.04.17 13:40 durch derdiedas.

  10. Re: Wen betrifft das?

    Autor: chewbacca0815 24.04.17 - 10:01

    gaelic schrieb:
    --------------------------------------------------------------------------------
    > Ich verstehe sowieso niemanden der mehr als SSH nach außen aufmacht? Wozu
    > mehr Ports freigeben?

    Ja nee, is klar! Ausgerechnet SSH. OK, mehr als das braucht man dann wirklich nicht mehr zu öffnen :o) Das dürfte ähnlich toll sein wie oben geschrieben, die NAS in die DMZ setzen...

  11. Re: Wen betrifft das?

    Autor: tonictrinker 24.04.17 - 11:28

    Berner Rösti schrieb:
    --------------------------------------------------------------------------------
    > Es gibt halt auch noch dieses QNAP-Cloud-Gedöns, über das man die Boxen
    > fernsteuern können soll. Da meldet sich das NAS dann am QNAP-Server an und
    > darüber kann man dann irgendwie zugreifen. Hab das noch nie ausprobiert, da
    > mir das zu suspekt ist. ;)
    Das ist eine Art DDNS-Dienst. Allerdings muss man nicht - wie wohl bei anderen manchmal nötig, sein Admin-PW zur Aktivierung eingeben.

    gaelic schrieb:
    --------------------------------------------------------------------------------
    > Ich verstehe sowieso niemanden der mehr als SSH nach außen aufmacht? Wozu
    > mehr Ports freigeben?
    Weil es mehr kann als nur eine externe Festplatte zu sein?



    1 mal bearbeitet, zuletzt am 24.04.17 11:30 durch tonictrinker.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. mateco GmbH, Stuttgart
  2. Techniker Krankenkasse, Hamburg
  3. operational services GmbH & Co. KG, Wolfsburg, Braunschweig, Zwickau
  4. Robert Bosch GmbH, Stuttgart-Vaihingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 39,00€ + 1,99€ Versand
  2. 27,99€
  3. 109,99€/119,99€ (Vorbesteller-Preisgarantie)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Assassin's Creed Origins angespielt: Ubisoft verschafft den Auftragskillern Ruhepausen
Assassin's Creed Origins angespielt
Ubisoft verschafft den Auftragskillern Ruhepausen
  1. Xbox One X Probefahrt mit der X-Klasse
  2. Ubisoft Chaoshasen, Weltraumaffen und die alten Ägypter
  3. Xbox One Supersampling im Zeichen des X

Indiegames-Rundschau: Weltraumabenteuer und Strandurlaub
Indiegames-Rundschau
Weltraumabenteuer und Strandurlaub
  1. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie
  2. Indiegames-Rundschau Söldner, Roboter und das ganze Universum
  3. All Walls Must Fall Strategie und Zeitreisen in Berlin

Github: Wer Entwickler hat, braucht keine PR
Github
Wer Entwickler hat, braucht keine PR
  1. Entwicklerplattform Github bekommt Marktplatz für Werkzeuge
  2. Entwicklungswerkzeuge Gnome erwägt Umzug auf Gitlab
  3. Windows 7 und 8 Github-Nutzer schafft Freischaltung von neuen CPUs

  1. Messenger-Dienste: Bundestag erlaubt großflächigen Einsatz von Staatstrojanern
    Messenger-Dienste
    Bundestag erlaubt großflächigen Einsatz von Staatstrojanern

    Trotz Kritik von Bürgerrechtlern und IT-Branche hat die große Koalition im Eilverfahren den Einsatz von Staatstrojanern beschlossen. Nur wenige Abgeordnete der SPD stimmten dagegen.

  2. Zahlungsabwickler: Start-Up Stripe kommt nach Deutschland
    Zahlungsabwickler
    Start-Up Stripe kommt nach Deutschland

    Stripe will als Zahlungsabwickler in Deutschland besser sein als andere. Betreibern einer Plattform oder eines Marktplatzes wird auch Datenanalyse und Beratung angeboten. Ins Endkundengeschäft will Stripe nicht einsteigen.

  3. Kaspersky: Microsoft reagiert auf Antivirus-Kartellbeschwerde
    Kaspersky
    Microsoft reagiert auf Antivirus-Kartellbeschwerde

    Kaspersky wirft Microsoft vor, den eigenen Virenscanner zu bevorzugen. Das Unternehmen weist die Anschuldigungen zurück, man würde eng mit den Herstellern zusammenarbeiten.


  1. 19:16

  2. 18:35

  3. 18:01

  4. 15:51

  5. 15:35

  6. 15:00

  7. 14:28

  8. 13:40