[English]Noch was von voriger Woche nachgeholt – der NAS-Hersteller QNAP hat eine Sicherheitswarnung für sein QTS-Betriebssystem für NAS-Stationen veröffentlicht. Die kritische Schwachstelle CVE-2023-23368 (CVSS Index 9.8) ermöglicht die Remote-Ausführung von Befehlen in älteren QTS-Versionen. Eine weitere Schwachstelle CVE-2023-23369 (CVSS Index 9.0) ermöglicht ebenfalls Remote-Angriffe. Es stehen Updates zum Schließen der Schwachstelle bereit. Hier eine Übersicht über diesen Sachverhalt.
Anzeige
Die Sicherheitswarnung QSA-23-31 datiert bereits vom 4. November 2023 und trägt den Titel Vulnerability in QTS, QuTS hero, and QuTScloud. Bei CVE-2023-23368 handelt es sich um eine Befehlsinjektionsschwachstelle, die gleich mehrere QNAP-Betriebssystemversionen betrifft. Remote-Angreifer können diese Schwachstelle ausnutzen, um über ein Netzwerk Befehle auszuführen. Die Schwachstelle ist mit einem CVSS Index 9.8 (von max. 10.0) als kritisch eingestuft. Betroffen sind folgende Betriebssystemversionen:
- QTS 5.0.x
- QTS 4.5.x
- QuTS hero h5.0.x
- QuTS hero h4.5.x
- QuTScloud c5.0.x
Der Hersteller QNAP hat folgende Updates herausgegeben, die u.a. die obige Schwachstelle schließen:
- QTS 5.0.1.2376 build 20230421 and later
- QTS 4.5.4.2374 build 20230416 and later
- QuTS hero h5.0.1.2376 build 20230421 and later
- QuTS hero h4.5.4.2374 build 20230417 and later
- QuTScloud c5.0.1.2374 and later
Es wird von QNAP empfohlen, die Software vorhandener NAS-Laufwerke mit den jeweils aktuellsten Firmware-Updates zu versehen, um solche Schwachstellen zu schließen. Die Vorgehensweise ist auf der QNAP-Seite beschrieben.
Die Kollegen von Bleeping Computer erwähnen noch eine zweite Schwachstelle CVE-2023-23369, die in der Sicherheitswarnung QSA-23-35 vom 4. Nov. 2023 dokumentiert ist. Die Schwachstelle hat den CVSS-Index von 9.0 und lässt sich ebenfalls remote ausnutzen. Betroffene Produkte sind:
Anzeige
- QTS 5.1.x, 4.3.6, 4.3.4, 4.3.3, 4.2.x;
- Multimedia Console 2.1.x, 1.4.x;
- Media Streaming Add-on 500.1.x, 500.0.x
Die Schwachstelle wird durch die folgenden Software-Updates geschlossen:
- QTS 5.1.0.2399 build 20230515 and later
- QTS 4.3.6.2441 build 20230621 and later
- QTS 4.3.4.2451 build 20230621 and later
- QTS 4.3.3.2420 build 20230621 and later
- QTS 4.2.6 build 20230621 and later
- Multimedia Console 2.1.2 (2023/05/04) and later
- Multimedia Console 1.4.8 (2023/05/05) and later
- Media Streaming add-on 500.1.1.2 (2023/06/12) and later
- Media Streaming add-on 500.0.0.11 (2023/06/16) and later
Auch hier lässt sich die Vorgehensweise zum Update in der Sicherheitswarnung QSA-23-35 nachlesen.
Anzeige
Erstmal danke für die Meldung!
Ich hoffe allerdings sehr, dass niemand der QNAP verwendet jetzt noch reagieren muss, weil die genannten Updates ja so zwischen 5 und 7 Monate alt sind. Hier läuft seit gut 37 Tagen schon QTS 5.1.2.2533 build 20230926.
Auch ist die genannte QTS 5.1.0.2399 build 20230515 ein "Release Candidate" und damit quasi "Beta-Firmware" wie man hier nachlesen kann:
https://www.qnap.com/en/release-notes/qts/overview/5.1.0#fixed-and-known-issues
QTS 5.1.1.2491 build 20230815 & QTS 5.1.2.2533 build 20230926 liefern in den Changelogs zusätzlich den folgenden Hinweis:
"Applied multiple security updates to further enhance system security."
In der Regel sind damit Komponenten aus der Lieferkette wie z.B. OpenSSL gemeint, welche in QTS verwendet werden. Daher besser gleich auf den aktuellen Stand gehen.
QNAP gibt die Advisories leider immer erst raus, wenn es Patches für alle noch unterstützten Versionen gibt. Damit sind die quasi wertlos, weil viel zu spät.
Wer Infos zu Updates haben möchte, kann Push-Nachrichten oder eine Mail direkt vom NAS nutzen. Dann gibt es gleich eine Info, wenn eine neue Firmware zur Verfügung steht und man kann zeitnah eingreifen.
Wie geschrieben, die Meldung hier ist gut, aber leider auf Grund von QNAPs Art Security Advisories zu publizieren aus der Sicht von IT-Security zu spät.
Gruß Singlethreaded
Ich verstehe diese Einstellung, sehe das aber völlig anders.
Ich begrüße und verstehe, dass QNAP erst so spät über die notwendigen Patches berichtet. Bestimme Personen nutzen Sicherheitslücken erst aus, wenn sie bekannt sind – weil sie wissen, dass es genügend Menschen gibt, die diese immer noch nicht geschlossen haben. Und ein NAS patchen viele halt nicht so häufig wie einen Rechner, vor dem man jeden Tag sitzt.
Ich erinnere auch an die weltweiten Milliarden Systeme, die online sind und für die es keine Sicherheitspatches mehr gibt (Windows 7 und älter, Handys mit uralten Android-Versionen usw.).
"Und ein NAS patchen viele halt nicht so häufig wie einen Rechner, vor dem man jeden Tag sitzt."
Das ist aber ein Fehler, da diese Kisten einen Haufen an Features mitbringen und remote viel mehr Angriffsfläche haben als ein PC. Trotzdem machen Leute die Dinger aus dem Internet erreichbar.
Ich bezweifle auch, dass Angreifer auf die Meldungen von QNAP als Hinweis warten. Es gab in der Vergangenheit einige Probleme mit Ransomware auf QNAP und es waren immer bereits geschlosse Lücken, welche genutzt wurden.
Es hilft nix, man muss halt patchen oder das Gerät zumindest gut isoliert im Heimnetz betreiben.
Moin,
ich würde die Behauptung wagen, dass ein großer Teil, wenn nicht gar sogar der Größte, der betroffenen QNAP-Systeme sich bei Unternehmen befindet. Davon wird auch relevanter Teil isoliert sein.
Allerdings insbesondere bei Kleinunternehmen und Mittelsttändlern kommen die Geräte als primäres oder sekundäres Backupziel zum Einsatz, Teils z.B. mit direkten Einbindungen in Backupsoftware oder sogar über Hyper-Visors, teilweise "nur" auf Freigaben der QNAPs.
Leider haben sich dann QNAP Updates in der Vergangenheit in einem solchen Umfeld schon des häufigern als katastrophales Eigentor dargestellt, wo anschließend ein Downgrade notwendig war, oder gar erst einmal die Festplatten ausgebaut und die QNAPS komplett zurückgesetzt werden mussten. Entsprechend haben Besitzer von QNAPs mein absolutes Verständnis, wenn sie zumindest erst einmal abwarten, bevor sie sich das vorletzte oder gar letzte Update für die QNAP einspielen.
Bei Synos sieht das teilweise ähnlich aus, aber nicht ganz so extrem. Zwar sind mir da nicht nur persönlich immer wieder mal Probleme nach Updates begegnet, allerdings meistens waren das eher Probleme in der Bedienung, der Zugrff z.B. auf die Freigaben, war bisher ausnamslos nicht gestört.
Es mag sein, dass ein großer Teil von QNAP-Modellen bei Unternehmen zum Einsatz kommt. Aber QNAP hat in seinem Portfolio verschiedenartige Modelle, und in Zeiten, in denen User Fotos und … äähm … Videodateien auf einen Rechner auslagern, um sich diese auf einem Netzwerkplayer anschauen zu können – ggf. mittels PLEX, Kodi o.ä. – kommt ein NAS auch immer mehr in Privathaushalten zum Einsatz. Und diese Privat-User kümmern sich im Durchschnitt leider weniger (regelmäßig) um Patches und vorhandene Sicherheitslücken als Admins in einem Unternehmen.
Ja, natürlich ist das ein Fehler, eine NAS nicht so häufig zu patchen – aus den von dir genannten Gründen. Aber in der Praxis sieht es nun mal anders aus.
jaa habe ich mir auch gedacht. Die Versionen sind seit 94 Tagen bereits installiert.
Ich habe hier – glücklicherweise – nur ein QNAP im Netzwerk und natürlich direkt mal nachgesehen. abgesehen davon, dass das NAS aus dem öffentlichen Adressraum heraus gar nicht erreichbar ist, wurde die genannte Aktualisierung direkt nach Veröffentlichung der Aktualisierung installiert (und nicht etwa erst, wenn es ein entsprechendes Stück Text irgendwo gibt, das über solche Sicherheitslücken offiziell berichtet). So, wie sich das halt gehört, wenn man behauptet, dass man seinen Job versteht.
War bei mir früher auch so (standmäßig) eingestellt. Nur dann ging irgendwann mal ein Update schief. Zum Glück gelang es mir, das NAS noch irgendwie zu booten, um dann schnell wieder downzugraden.
Seitdem installiere ich die Updates immer manuell. Und erst ein paar Tage nach Release-Datum, und ich schaue im offiziellen QNAP-Forum nach, ob andere User mit dem Update Probleme hatten.
Bei dem Update, das bei mir schief lief, war ich (laut QNAP-Forum) nicht der einzige mit Problemen. Es kam dann auch schnell ein neues Update von QNAP.
Es ist inzwischen wieder besser geworden, aber eine Zeit lang musste QNAP doch einige Updates wieder zurückziehen und nachbessern. Meist wurde schnell reagiert, aber diese Updates sind komplett aus Release Notes etc. verschwunden, ist also nicht mehr nachvollziehbar und somit nicht jedem bewusst.
Liebe Community,
ich habe massive Probleme mit meinem QNAP TS-873A NAS unter QuTS.
Dieses äußern sich wie folgt:
• Geschwindigkeitsprobleme. Ich muss teilweise 2-3 Minuten warten, bis die Weboberfläche geladen ist.
• Die Pool-Bereinigung ist eingestellt, dass diese alle drei Monate durchgeführt wird immer am 01. des Monats, gestern ist diese ohne ersichtlichen Grund gestartet.
• Das Programm HBS3. Die tägliche Synchronisation mit meiner Nextcloud dauert mehrere bis zu 12 Stunden täglich, obwohl nur minimale Änderungen, die sich im MB-Bereich abspielen.
• Die Neustartzeiten unter QuTS sind 30 Minuten, was mich extrem nervt.
Folgende Specs hat das QNAP TS-873A 02/2024:
• TS-873A (BIOS Q07DAR15)
• Betriebssystem QuTS 5.1.5.2647
• 64 GB RAM (2x CT2K32G4SFD832A)
• 7x Toshiba 16 TB HDD (MG08ACA16TE) im RAID 6 Verbund Oper-Provisioning mit 10%
• 2x WD Red SN700 NVMe SSD 1 TB als NVME-Volumen für Docker, eine Windows VM (GB RAM) und Emby Datenbank
• 2x WD Red SN700 NVMe SSD 1 TB (Lese-Cache und synchrones ZIL E/A Schreib Protokoll)
• NVIDIA Quadro P400 (für Emby)
• QuTS hero 5.1.4.2647
• USV EATON Ellipse ECO 800
Ich stehe nun seit September letzten Jahres in Kontakt mit dem QNAP-Support und habe schon einiges durchprobiert und mehrere Remote Sessions durch.
Was mich extrem geärgert hat, ist dieser Supportartikel:
https://www.qnap.com/de-de/how-to/faq/article/boot-uprestartshutdown-takes-a-really-long-time-15-20-minutes-why-is-this
Und die passende Antwort des QNAP-Supports auf meine Nachfrage, ob die Neustartzeiten von 30 Minuten „normal" sind?
Antwort QNAP Support:
„Hinsichtlich der Startzeiten sind für zukünftige Versionen Optimierungen geplant."
Inzwischen habe ich keine Lust mehr und suche eine Alternative und bin auf UGreen gestoßen.
Selbstbau kommt für mich nicht infrage, genauso wie ein weiteres NAS von QNAP. Ich habe weit über 80 Stunden Zeit in Problemlösungen und Suche investiert, um diesen Problemen herzuwerden, leider ohne Erfolg.
Meine Geduld ist erschöpft und ich möchte jetzt etwas anderes.
Hier hat es mir das DXP8800Plus angetan, das es momentan mit 40% Rabatt gibt und somit würde es nur 899$ kosten. Umgerechnet 850 Euro.
Link hierzu: https://bit.ly/3U1bt5b
Inzwischen denke ich den Übeltäter ausgemacht zu haben, das Programm HBS3.
Am Anfang habe ich einen Synchronisationsjob gehabt, das hat allerdings ewig gedauert, deswegen habe ich umgestellt, sodass Ordner nach Ordner abgeglichen werden. Leider hat auch das 12 Stunden gedauert.
Ich habe nun schon überall im Internet eine Lösung für meine Probleme gesucht, bin aber leider nur darauf gestoßen, dass es Probleme mit dem BS QuTS gibt. Inzwischen habe ich das Programm HBS3 deinstalliert und verwende jetzt Windows Nextcloud Client für die Synchronisation. Keine Gute, aber funktionierende Lösung.
Seit der Deinstallation ist das NAS performanter, die Frage ist nur wie lange? Auch wenn kein Backup Job lief war das NAS extrem träge. Ich verstehe das Verhalten einfach nicht. Nachdem ich keine Lust mehr habe, dass sich diese Probleme noch Monate hinziehen möchte ich gerne wechseln.
Es findet sich einfach keine Lösung für die Probleme, selbst im QNAP NAS Forum hat man nur die Lösung vorgeschlagen auf QTS zu wechseln, was allerdings mit extrem viel Aufwand verbunden ist und das NAS automatisch jede Woche neustarten zu lassen. Keine schöne Lösung.
Was haltet ihr von dem UGreen NAS?
Es gibt eine deutsche Facebook-Gruppe, wo man sich über die NAS-Systeme austauschen kann, diese ist hier zu finden: https://bit.ly/41XiXYJ
Gewinnspiele soll es dort auch geben.
Hier bekommt man eine Antwort von UGreen, sollte man eine Frage haben zu den NAS-Systemen oder kann sich über die NAS-Systeme informieren.
Vielleicht hat noch jemand einen Tipp für mich. Sorry für den „Wall of Text", aber ich habe schon viel probiert und bin nun seit einigen Monaten mit den Problemen beschäftigt.