QNAP-NAS und die gekaperten Hosts-Einträge

Merkwürdiges bei QNAP Netzwerkspeichern (NAS): Eine Schadsoftware scheint Einträge in der Hosts-Datei des Geräts zu manipulieren. Dadurch werden Virenscanner und der QNAP Malware Remover nicht mehr aktualisiert.


Anzeige

Eine erste Benutzerbeobachtung

Ich bin schon vor einigen Tagen auf einen Artikel bei The Register zum Thema gestoßen. Im QNAP NSA Community-Forum hat sich bereits am 7. Januar 2019 ein Nutzer ianch99 gemeldet, dem aufgefallen war, dass nach dem letzten Firmware-Update der QNAP-Geräte der ClamAV Antivirus keine Updates mehr beziehen konnte. Bei einer Kontrolle stieß er darauf, dass über 700 clamav.net-Einträge in seiner /etc/hosts-Datei zu finden waren, die dort auf die IPv4-Adresse 0.0.0.0 gesetzt waren. Hier ein Auszug:

0.0.0.0 bugs.clamav.net
0.0.0.0 current.cvd.clamav.net
0.0.0.0 database.clamav.net
0.0.0.0 db.local.clamav.net
0.0.0.0 update.nai.com
0.0.0.0 db.ac.clamav.net
0.0.0.0 db.ac.ipv6.clamav.net
0.0.0.0 db.ac.big.clamav.net

Mit dieser Zuweisung in der hosts-Datei sind die betreffenden Server von ClamAV natürlich nicht mehr erreichbar. Ein Scan mit dem QNAP Malware Remover 3.3.1 ergab, dass die Firmware des NAS sauber sei.

Bestätigung durch andere Nutzer, ein Firmware-Bug?


Anzeige

Am 22. Januar 2019 meldete sich ein weiterer Nutzer jhand00, der angibt, wohl 'auf die gleiche Weise gehackt' worden zu sein. Dieser schreibt:

I did have qnapcloud enabled. My guess is that it was through that, but other possibilities are that I had https access available from the Internet, along with port forwarding to a Plex server on the QNAP server.

Aber es bleibt unklar, was passiert sein könnte. Der Thread-Starter hatte das Problem an QNAP gemeldet, ohne eine Reaktion zu erhalten. Er konnte die Einträge zwar aus der hosts-Datei manuell herauslöschen. Aber nach einem Neustart der NAS-Firmware waren die Einträge wieder da.

Also hat er einen Versuch gemacht und ein Downgrade seiner QNAP NAS-Firmware auf die Version 4.3.4.0675 vorgenommen. Dann waren die 'Geister-Einträge' in der hosts-Datei weg.

Als Benutzer ianch99 die QNAP NAS-Firmware erneut auf die Version 4.3.4.0695 aktualisierte, waren die mehr als 700 Einträge in der hosts-Datei plötzlich wieder vorhanden. Er schreibt dazu:

Out of interest, I downgraded to 4.3.4.0675 firmware and the hosts file did not have the 700+ entries. I then upgraded to 4.3.4.0695 and they came back . I am thinking it is related to the config settings that persist on the /share/CACHEDEV1_DATA device. There is a new Malware Remover version 3.4.0 that came out yesterday so QNAP know that they have an issue here. I ran this and it says it "Malware was detected and removed. You must restart the NAS". You do this and then it runs on restart and says the same thing –> endless loop.

Er vermutete, dass die Einträge in einer Cache-Datei überdauert haben. Der Thread umfasst inzwischen 8 Seiten – und Benutzer berichten, dass ihre Antivirus-Software auf dem NAS nicht mehr aktualisiert werden kann.

Weitere Beobachtungen, keine Reaktion von QNAP

Auf reddit.com hat ein Benutzer diesen Thread eröffnet. Nachdem sein QNAP Malware Remover sich weigerte, zu arbeiten und er diese auch nicht neu installieren konnte, hat ein QNAP-Techniker in einer Remote-Sitzung ein Shell-Script ausgeführt. Der Befehl ist im verlinkten Thread (und in diesem heise.de-Artikel) dokumentiert und soll das Problem erst einmal beheben.

Im deutschsprachigen QNAP-Club-Forum gibt es einen Thread, wo ein Benutzer am 24. Januar 2019 berichtet, dass sein Malware Remover nicht mehr scannen kann. Der Versuch einer Neuinstallation endet mit einer Fehlermeldung.

Hier beschreibt ein weiterer Benutzer seine Analyse und kommt zum Schluss, dass sein QNAP-NAS durch Malware infiziert ist, die das Scannen und Updaten durch den Malware Remover unterbindet. Ein Benutzer fasst es aktuell in folgendem Post zusammen:

Ich habe gerade alle mehrere Deutsche und Englische Qnap Foren Threads durchgelesen und anschliessend in München angerufen (Qnap Support). Es scheint so, als wüsste bisher keiner so wirklich wo der Angriffsvektor dieser Malware ist?!

Allerdings gibt es von QNAP mehrere Sicherheitsupdates, die ein Benutzer hier auflistet. So existiert ein Security Advisory NAS-201901-22 vom 22. Januar 2019 mit dem Titel Security Advisory for Vulnerabilities in QTS, in dem ein QTS-Update dringend empfohlen wird. Ein weiteres QNAP Security Advisory NAS-201901-14 vom 14. Januar 2019 trägt den Titel Security Advisory for Photo Station Vulnerability, der ein Update der Photo Station-Software empfiehlt.

Allerdings spricht dagegen, dass die Betroffenen die vermutete Infektion nach einem Update der QNAP-Firmware bekommen haben. Man könnte dann schon mal auf den Gedanken kommen, dass diese Firmware nicht sauber ist oder eine Schwachstelle aufweist, die nun ausgenutzt wird. Die beim Schreiben des Beitrags letzte Forenmeldung stammt von einem Benutzer, der eine OEM-Version (Fujitsu Celvin Q902 = TS 669) des QNAP-NAS hat, dort aber aber bisher keine Auffälligkeiten bemerkt. Wer ein solches Gerät besitzt, sollte auch die Nutzerkommentare zu diesem heise.de-Artikel durchgehen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu QNAP-NAS und die gekaperten Hosts-Einträge

  1. oli sagt:

    Die QNAP TS-420, die ich betreue ist noch auf Version 4.3.3.0789 und es wird auch keine neuere Firmware-Version angeboten. Hosts-Datei sieht vollkommen normal aus.

    In der Admin-Oberfläche hab ich aber auch so ziemlich jede Funktion/Dienst/App deaktiviert/deinstalliert, die nicht benötigt wird (ich brauch nur SMB und iSCSI). Sicherheitslücken in irgendner App oder durch Cloudanbindung tangieren mich daher wenig.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.