Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Command Injection: Qnap-NAS-Geräte…

Wen betrifft das?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wen betrifft das?

    Autor: Berner Rösti 21.04.17 - 12:44

    Mir fehlt in dem Artikel irgendwie die Information, welche Voraussetzungen erfüllt sein müssen, damit ein Angreifer hier die Kontrolle übernehmen kann.

    Die meisten Anwender dürften ihr NAS doch im lokalen Netz hinter der Firewall des Routers stehen haben, aber ggf. mit Port-Weiterleitung für den Fernzugriff.

  2. Re: Wen betrifft das?

    Autor: elidor 21.04.17 - 13:18

    "Alternativ kann der Zugang zum Webinterface über die Ports 8080 und 443 eingeschränkt werden."

    Ich vermute es betrifft jeden, der 8080 und 443 zum NAS weiterleitet, aber du hast Recht, dass es im Artikel nicht eindeutig steht.

  3. Re: Wen betrifft das?

    Autor: hg (Golem.de) 21.04.17 - 13:26

    Moin,

    klar, wenn das nur lokal im Netzwerk steht kann es nicht aus der Ferne angegriffen werden. Viele Nutzer werden aber ja zum Beispiel DynDNS verwenden, um aus der Ferne zugreifen zu könnnen. Werde das noch präzisieren, danke für den Hinweis.

    VG,

    Hauke Gierow - Golem.de

  4. Re: Wen betrifft das?

    Autor: Berner Rösti 21.04.17 - 13:28

    hg (Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > klar, wenn das nur lokal im Netzwerk steht kann es nicht aus der Ferne
    > angegriffen werden. Viele Nutzer werden aber ja zum Beispiel DynDNS
    > verwenden, um aus der Ferne zugreifen zu könnnen. Werde das noch
    > präzisieren, danke für den Hinweis.

    Es gibt halt auch noch dieses QNAP-Cloud-Gedöns, über das man die Boxen fernsteuern können soll. Da meldet sich das NAS dann am QNAP-Server an und darüber kann man dann irgendwie zugreifen. Hab das noch nie ausprobiert, da mir das zu suspekt ist. ;)

  5. Re: Wen betrifft das?

    Autor: JouMxyzptlk 21.04.17 - 13:42

    Berner Rösti schrieb:
    --------------------------------------------------------------------------------
    > Die meisten Anwender dürften ihr NAS doch im lokalen Netz hinter der
    > Firewall des Routers stehen haben, aber ggf. mit Port-Weiterleitung für den
    > Fernzugriff.

    Mal Fernzugriff außen vor: Die meisten NAS werden für backup genutzt. Inzwischen so dass nur das Backup-Programm mit eigenem Benutzer und Passwort schreiben kann (Crypto-Ransomware). Nicht mal der Admin darf schreiben. Wenn aber so eine Lücke mehr Zugriff erlaubt werden bald die nächsten Crypto Trojaner kommen welche nicht nur alles was im Netz beschreibbar ist verschlüsseln sondern gleich das backup mit, selbst wenn man es brauchbar abgesichert hat. Wohl denjenigen die das NAS wöchentlich wechseln (wie wir es empfehlen wenn wir das einrichten).
    Paranoiderweise müsste man es täglich machen mit 7 oder mehr NAS, aber da kommen dann andere Kosten zum tragen, wie "wieso wird die Datensicherung genauso teuer wie der neue Cluster?".

  6. Re: Wen betrifft das?

    Autor: RemoCH 21.04.17 - 15:58

    Tatsächlich betrifft diese Sicherheitslücke wohl nur die wenigen, deren NAS frei im Internet verfügbar ist, sei es per DynDNS oder C-Name Eintrag. Für all diejenigen, deren NAS wohl beschützt hinter dem Router rumlungert oder nur per VPN erreichbar ist, sollte der aktive Schutz, den die Firewall in Fritz!Box und Co. bietet, in Kombination mit dem passiven Schutz durch Unsichtbarkeit ausreichend sein.

  7. Re: Wen betrifft das?

    Autor: RipClaw 22.04.17 - 03:08

    RemoCH schrieb:
    --------------------------------------------------------------------------------
    > Tatsächlich betrifft diese Sicherheitslücke wohl nur die wenigen, deren NAS
    > frei im Internet verfügbar ist, sei es per DynDNS oder C-Name Eintrag. Für
    > all diejenigen, deren NAS wohl beschützt hinter dem Router rumlungert oder
    > nur per VPN erreichbar ist, sollte der aktive Schutz, den die Firewall in
    > Fritz!Box und Co. bietet, in Kombination mit dem passiven Schutz durch
    > Unsichtbarkeit ausreichend sein.

    Es ist gefährlich sich auf den Schutz durch das NAT und die Firewall des Router zu verlassen. Ein Schädling der es in dein Netz geschafft hat kann dein NAS immer noch angreifen.

    2012 wurde eine Sicherheitslücke in zahlreichen Routern bekannt. Angreifer nutzen seitdem diese Schwachstelle um die DNS Einstellungen zu ändern um Nutzer auf falsche Seiten zu leiten.

    Da die Lücke nur über die Adminoberfläche ausnutzbar ist die in den Standardeinstellungen nur im lokalen Netz aufrufbar ist haben sich viele Nutzer sicher gefühlt. Allerdings haben Angreifer einfach über die Browser der Nutzer den Angriff durchgeführt.

    https://www.heise.de/security/meldung/Mail-hackt-Router-1759354.html

  8. Re: Wen betrifft das?

    Autor: gaelic 22.04.17 - 12:28

    Ich verstehe sowieso niemanden der mehr als SSH nach außen aufmacht? Wozu mehr Ports freigeben?

  9. Re: Wen betrifft das?

    Autor: derdiedas 22.04.17 - 13:40

    Wer ohne VPN eine NAS ins Netz Stellt (Ausnahme - die Daten soll eh jeder lesen dürfen) sollte mit dem Gerät erschlagen werden!

    Obendrein sollten nur Geräte Netzwerkdienste bereitstellen die:

    1. primär dafür gedacht sind
    2. In einer DMZ stehen
    3. Nur Daten enthalten die für den Netzdienst im Internet notwendig sind
    4. Durch Maßnahmen wie Aktuelle Patche, Verschlüsselung, File Integrity Monitoring und Härtung weitestgehend robust sind.

    Wer also ohne oben genannte Maßnahmen die Ports an die NAS Weiterleitet - dem ist schlichtweg nicht mehr zu helfen. Und wenn er das "professionell" macht, sollte er doch vielleicht lieber "schottische" Pommestüten verkaufen.

    Gruß ddd



    2 mal bearbeitet, zuletzt am 22.04.17 13:40 durch derdiedas.

  10. Re: Wen betrifft das?

    Autor: chewbacca0815 24.04.17 - 10:01

    gaelic schrieb:
    --------------------------------------------------------------------------------
    > Ich verstehe sowieso niemanden der mehr als SSH nach außen aufmacht? Wozu
    > mehr Ports freigeben?

    Ja nee, is klar! Ausgerechnet SSH. OK, mehr als das braucht man dann wirklich nicht mehr zu öffnen :o) Das dürfte ähnlich toll sein wie oben geschrieben, die NAS in die DMZ setzen...

  11. Re: Wen betrifft das?

    Autor: tonictrinker 24.04.17 - 11:28

    Berner Rösti schrieb:
    --------------------------------------------------------------------------------
    > Es gibt halt auch noch dieses QNAP-Cloud-Gedöns, über das man die Boxen
    > fernsteuern können soll. Da meldet sich das NAS dann am QNAP-Server an und
    > darüber kann man dann irgendwie zugreifen. Hab das noch nie ausprobiert, da
    > mir das zu suspekt ist. ;)
    Das ist eine Art DDNS-Dienst. Allerdings muss man nicht - wie wohl bei anderen manchmal nötig, sein Admin-PW zur Aktivierung eingeben.

    gaelic schrieb:
    --------------------------------------------------------------------------------
    > Ich verstehe sowieso niemanden der mehr als SSH nach außen aufmacht? Wozu
    > mehr Ports freigeben?
    Weil es mehr kann als nur eine externe Festplatte zu sein?



    1 mal bearbeitet, zuletzt am 24.04.17 11:30 durch tonictrinker.

  12. Re: Wen betrifft das?

    Autor: Suppengruen 06.07.17 - 09:30

    Hinter Dir... ein dreiköpfiger Terrorist! :O

  13. Re: Wen betrifft das?

    Autor: Suppengruen 06.07.17 - 09:37

    zumal man erwähnen sollte, dass ein Firmwareupdate bei QNAS Systemen auch in einem Totalverlust des bestehenden Setups enden kann.

    Bei mir war nach dem Update Twonky weg, PostgresSQL Support wurde eingestellt und diverse ander Unschönheiten, alles nur m.E. um den Einzug vieler bunter Ikonen und weniger Funktionen zu rechtfertigen.
    Was für einen Endverbraucher Nutzer noch mit einem blauen Auge endet kann im Ernstfall auf diese Weise einen SOHO User mal eben die Existenz kosten.
    Fazit, ich brauche nun danke der "intuitiven" Umgebung rund 5 mal so lang wie vorher um meine Prozesse abzuwirtschaften. Danke QNAP *Thumbsup*

    Ich frage mich, ob ich mir da nicht lieber den Virus einfange.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. talpasolutions GmbH, Essen
  2. RIEDEL Communications GmbH & Co. KG, Wuppertal
  3. Sanacorp Pharmahandel GmbH, Planegg
  4. Triona - Information und Technologie GmbH, Frankfurt am Main, Mainz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 5,55€
  2. über ARD Mediathek kostenlos streamen


Haben wir etwas übersehen?

E-Mail an news@golem.de


Paperino im Interview: "Am Ende ist es nicht so schwer, wie es aussieht"
Paperino im Interview
"Am Ende ist es nicht so schwer, wie es aussieht"
  1. Librem 5 Freies Linux-Smartphone wird größer und kantig
  2. Crosshelmet Motorradhelm mit Rückwärtskamera für Head-up-Display
  3. Light Phone 2 Das Mobiltelefon für Abschalter

A Way Out im Test: Knast-Koop mit tiefgründiger Story
A Way Out im Test
Knast-Koop mit tiefgründiger Story
  1. The Irregular Corporation PC Building Simulator verkauft sich bereits 100.000 mal
  2. Spielemarkt Download-Anteil bei Games steigt auf 42 Prozent
  3. Mobbing Sponsoren distanzieren sich von Bully Hunters

IMSI Privacy: 5G macht IMSI-Catcher wertlos
IMSI Privacy
5G macht IMSI-Catcher wertlos
  1. 5G Bundesnetzagentur wird Frequenzen auch lokal vergeben
  2. Bundesnetzagentur Frequenzen für 5G werden erst 2019 versteigert
  3. Mobilfunk Vodafone testet erste 5G-Smartphones in Düsseldorf