Ernstige beveiligingslekken in een nas-systeem van fabrikant QNAP waardoor aanvallers het systeem kunnen overnemen wachten al een jaar op een update. Dat meldt het Finse anti-virusbedrijf F-Secure. Een onderzoeker van de virusbestrijder ontdekte vorig jaar in de QNAP TVS-663 drie kwetsbaarheden.

Het eerste probleem is aanwezig in het updatemechanisme van het nas-systeem. Er wordt bij de controle op nieuwe updates geen encryptie toegepast. De vraag van het apparaat om beschikbare updates gaat via het onversleutelde http. Een aanvaller die zich tussen de nas en het internet bevindt kan zo het updateresultaat aanpassen en bijvoorbeeld andere firmware of downloadlocaties doorgeven.

Het tweede probleem betreft cross-site scripting in het updatevenster waarin de beschikbaarheid van nieuwe updates wordt aangekondigd. Een aanvaller kan op deze manier acties in de nas-webinterface uitvoeren. Is de gebruiker als admin ingelogd, dan kan de aanvaller volledige admintoegang krijgen. Als laatste blijkt dat de controle op nieuwe firmware-updates kwetsbaar is voor command injection. Een aanvaller kan zo willekeurige commando's met rootrechten uitvoeren en toegang tot alle gegevens op de nas krijgen.

QNAP werd op 1 februari vorig jaar ingelicht. Na 180 dagen vroeg de fabrikant om 90 dagen extra voor de ontwikkeling van een update. F-Secure ging hiermee akkoord, maar nu een jaar verder is er nog altijd geen update beschikbaar. De QNAP TVS-663 is inmiddels niet meer in winkels verkrijgbaar, maar werd ook in Nederland verkocht.