[English]NAS-Hersteller QNAP hat eine Sicherheitswarnung für seine QNAP-Produkte herausgegeben. In der Software QTS 5.0.1 und QuTS hero h5.0.1 gibt es eine kritische Schwachstelle CVE-2022-27596, die eine Injektion von Schadcode in die Firmware ermöglicht. Die kritische Schwachstelle wurde mit einem CVSS v3 Score von 9.8 versehen. Es gibt inzwischen Firmware-Updates, um die Schwachstelle zu schließen. Ein Update sollte unverzüglich installiert werden. Ergänzung: Weltweit sind über 29.000 Geräte über die Lücke per Internet angreifbar – in Deutschland sind es über 7.000 NAS-Einheiten.
Anzeige
Die QNAP-Sicherheitsmeldung QSA-23-01 stammt vom 30. Januar 2023 und trägt den Titel Vulnerability in QTS and QuTS hero.
Dem Hersteller wurde eine Sicherheitslücke gemeldet, die QNAP-Geräte mit QTS 5.0.1 und QuTS hero h5.0.1 betrifft. Angreifer, die diese Schwachstelle ausnutzen, können Remote bösartigen Code in die Firmware der Geräte einschleusen. Das setzt natürlich voraus, dass die QNAP-Geräte remote auch erreichbar sind.
QNAP hat keine weiteren Details zur Schwachstellen verraten. Die Kollegen von Bleeping Computer weisen hier darauf hin, dass im NIST-Portal die Schwachstelle CVE-2022-27596 die Information "Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')" zu finden ist. Betroffen sind Geräte mit folgender Software:
Anzeige
QTS 5.x
QuTS hero h5.x
Der Hersteller hat die gemeldet Schwachstelle in folgenden Versionen der QNAP-Betriebssysteme beseitigt.
- QTS 5.0.1.2234 build 20221201 und später
- QuTS hero h5.0.1.2248 build 20221215 und später
Um Geräte mit dieser Software zu schützen, empfiehlt der Hersteller diese regelmäßig auf den neuesten Update-Stand zu bringen. Dazu soll man sich bei QTS oder QuTS hero als Administrator anmelden und zum Menüpunkt Systemsteuerung > System > Firmware-Update gehen. Dort lässt sich unter Live Update auf Nach Update suchen klicken. Die Betriebssysteme QTS oder QuTS hero sollten dann das neueste verfügbare Update herunterladen und installieren.
Beachtet die Kommentare weiter unten, dass der Fix bereits vor Wochen ausgerollt wurde, die Updates aber bei der Update-Suche nicht gefunden wurden.
Alternativ können Nutzer das Update auch von der QNAP-Website herunterladen. Gehen Sie zu Support > Download Center und führen Sie dann ein manuelles Update für Ihr spezielles Gerät durch.
Über 29.000 Geräte verwundbar?
Bleeping Computer berichtet hier, dass über 29.000 Geräte für diese Schwachstelle anfällig sind. Dies geht aus einem Bericht der Sicherheitsforscher von Censys hervor. Nur etwas mehr als 550 von mehr als 60.000 QNAP NAS-Geräten, die die Censys-Sicherheitsforscher online gefunden haben, wurden gepatcht.
"Censys hat 67.415 Hosts mit Hinweisen auf den Betrieb eines QNAP-basierten Systems beobachtet; leider konnten wir nur von 30.520 Hosts die Versionsnummer erhalten. Aber wenn der Hinweis korrekt ist, wären über 98% der identifizierten QNAP-Geräte für diesen Angriff anfällig", so Senior Security Researcher Mark Ellzey. In Deutschland habe ich über 7.000 Geräte in der Liste gesehen "Wir haben herausgefunden, dass von den 30.520 Hosts mit einer Versionsnummer nur 557 mit QuTS Hero größer oder gleich 'h5.0.1.2248' oder QTS größer oder gleich '5.0.1.2234' arbeiteten, was bedeutet, dass 29.968 Hosts von dieser Sicherheitslücke betroffen sein könnten."
Anzeige
Ich kann das iwie nicht mehr verstehen, warum diese Kisten immer noch gekauft werden .. da sind mehr Sicherheitslücken drin, als Daten! ^^
Nennen Sie mir alternativen wo das nicht so ist!
Nun ja. wenn man sich mal den ganzen IoT Kernschrott zu Gemüte führt: Da dürften noch viel krassere Fehler enthalten sein die schlicht nicht gestopft werden. Aber ich würde ein qnap auch nicht ans Netz hängen
Ich habe auf meinem QNAP seit 15.12.2022 Version 5.0.1.2248 drauf…ist also schon lange gepatcht und somit nichts neues.
Viel spannender finde ich den Sachverhalt, dass dieses Advisory erst gestern veröffentlicht wurde. Die Lücken sind nämlich durch die Updates vom 01.12.2022 bzw. 15.12.2022 behoben worden. Somit geht es um Patches, welche 6 bis 8 Wochen alt sind.
Entsprechend sollte in Zusammenhang mit der genannten Mindestversion beachtet werden, dass nach der Version "QTS 5.0.1.2234 build 20221201" noch die folgenden Versionen erschienen sind:
5.0.1.2248 build 20221215:
[Security Updates]
– Applied multiple security updates to further enhance system security.
5.0.1.2269 build 20230104:
Keine Sicherheitsupdates
5.0.1.2277 build 20230112:
[Security Updates]
– Fixed the security issue CVE-2022-27600.
– Applied multiple security updates to further enhance system security.
Man sollte also sicherstellen, dass man wirklich die letzte Version installiert hat und damit kommen wir zum zweiten Klops:
Zumindest die letzten beiden Versionen wurden mir bei der Firmwaresuche per NAS nicht angeboten. Beim Klick auf "Auf Aktualisierung prüfen" erscheint die Meldung "Die Firmware ist auf dem neusten Stand". Man muss die neue Firmware manuell von der QNAP Webseite laden und dann auch manuell per Datei einspielen.
Die neuen Versionen haben keine Klassifizierung als "Betaversion". Daher ist es für mich unverständlich, dass kein automatischer Hinweis auf die neuen Versionen erfolgt, insbesondere wenn Sicherheitslücken geschlossen werden.
Qnap hat wohl was den Rollout neuer Versionen angeht etwas geändert deshalb werden die neuen Versionen nur sehr zeitversetzt auf die NAS Modelle ausgerollt.
Wenn eine neue Version Sicherheitslücken schließt, dann ist eine derart zurückhaltende Verteilung aber mehr als bedenklich. Es wurde ja vor kurzem erst eine Auto-Update Funktion eingeführt, so dass das NAS neue Versionen automatisch installiert. Darauf werden sich einige verlassen.
Auch hängt die Benachrichtigung per Mail oder Push an dieser Versionsprüfung. Somit erhält der Anwender auch keinen Hinweis das ein Update zur Verfügung steht, welches ggf. manuell eingespielt werden kann.
Ich habe das Update auch manuell heruntergeladen, da es über die Aktualisierung nicht angeboten wurde.
Die Version stammte vom 18.01.23, wir haben jetzt den 31.01.
"Sehr zeitversetzt" heisst bei denen wohl "nächstes Jahr um 12.
QNAP war schon einmal besser drauf.
Gruß
Keine Betaversion, nein, aber bspw. bei einem von mir betreuten Backup-Silo (TS-431XeU) angezeigt als Funktionsupdate, nicht als Sicherheits-Update und entsprechend auch nicht automatisch ausgerollt.
Der letzte Schr… Es gibt kein NAS mit mehr Lücken…
Und das kannst du auch belegen?
Die Zahlen auf z.B. dieser Webseite sagen da aber etwas anderes: https://www.cvedetails.com/
QNAP seit 2009: 137
Synology seit 2013: 222
also mir sind 100 Lücken mit einem niedrigen Score lieber als 5 kritische
Das Problem ist eher, dass zu viele Consumer User die Kisten ins Netz hängen mit Apps wie "QnapCloud" oder Photostation, am besten mit Portweiterleitungen auf das NAS. Leider wird dass von den Herstellern auch noch so beworben "Build your own Cloud". Ich betreibe seit Jahren zwei von außen erreichbare Systeme v. Qnap per VPN hinter meinem Router. (Aktuell m. Wireguard VPN) . Da gibt es keine Themen, aber man muss es eben so implementieren.
VG
Das stimmt. In diesem Punkt sind diese Kisten Fluch und Segen zugleich. Man hat unheimlich viele Möglichkeiten und Features. So kann man mit wenigen Klicks vieles erreichen auch wenn man wenig von der Materie versteht. Genau da liegen aber auch die Gefahren, denn ohne Hintergrundwissen ist es schwer die möglichen Konsequenzen der eigenen Handlungen abzuschätzen.
Auch liefert QTS viele Funktionen mit, welche wohl ehr selten in einem Heimnetzwerk verwendet werden, wie z.B. iSCSI, Virtualisierung oder komplexe RAID-Systeme mit Tiering zwischen SSDs und Festplatten.
Das kann einen Endanwender auch schnell überfordern.