Honderdduizenden QNAP NAS-systemen door lek op afstand over te nemen
Honderdduizenden NAS-systemen van fabrikant QNAP zijn door verschillende kritieke kwetsbaarheden op afstand over te nemen en een aanvaller hoeft niet over inloggegevens te beschikken. Eind vorig jaar kwam QNAP al met beveiligingsupdates en onderzoeker Henry Huang die de beveiligingslekken ontdekte heeft nu de details openbaar gemaakt.
Via de kwetsbaarheden kan een aanvaller zonder inloggegevens willekeurige code met rootrechten op de NAS-systemen uitvoeren. Dat houdt in dat een aanvaller volledige controle heeft en alle bestanden op het systeem kan benaderen. De beveiligingslekken bevinden zich in QNAP Photo Station en CGI-programma's die op de NAS draaien. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die allemaal een 9,8 beoordeeld.
Het gaat in totaal om vier beveiligingslekken. In zijn blogposting beschrijft Huang echter drie kwetsbaarheden, omdat die voldoende zijn om zonder inloggegevens op afstand code met rootrechten uit te voeren. Via de eerste kwetsbaarheid kan een aanvaller de authenticatie omzeilen en zich als appuser authenticeren. Het tweede lek maakt het mogelijk om willekeurige php-code in de sessie te injecteren en via de derde kwetsbaarheid is het mogelijk om sessiecontent naar een willekeurige locatie op de server te schrijven en zo een webshell te starten.
De enige voorwaarde voor het uitvoeren van de aanval is dat het NAS-systeem via internet toegankelijk is en QNAP Photo Station staat ingeschakeld. Photo Station wordt door QNAP omschreven als een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen.
Eind 2019 voerde Huang een scan uit op internet en ontdekte 564.000 QNAP-systemen die via internet toegankelijk waren. Uit een steekproef bleek dat tachtig procent Photo Station had ingeschakeld, wat neerkomt op zo'n 450.000 kwetsbare NAS-systemen. Eigenaren van een QNAP NAS krijgen het advies om de laatste firmware-update te installeren.
Geef aan hoeveel het er nu zijn, of maak in de titel duidelijk dat het over oud nieuw gaat.
Quality NAP?...
Quality NEP???!!!
Quality NAP?...
Quality NEP???!!!
Geef aan hoeveel het er nu zijn, of maak in de titel duidelijk dat het over oud nieuw gaat.
Wees blij dat het wordt gemeld na een beschikbare update. Voor je het weet zit er zo'n thuiszittende scholier op je QNAP.
Kan nog vervelend uitpakken.
Het gaat hier om een on-line fotoalbum. Het hele idee van dit programma is om foto's met bekenden te delen zonder ze bij een externe clouddienst te hoeven uploaden. Dan moet hij aan het internet hangen.
Het gaat hier om een on-line fotoalbum. Het hele idee van dit programma is om foto's met bekenden te delen zonder ze bij een externe clouddienst te hoeven uploaden. Dan moet hij aan het internet hangen.
Zo zie je maar hoe onverstandig dat is. Synology heeft ook allemaal van dat soort apps maar ik heb ze er op het werk
op de NAS allemaal afgeknikkerd, en het ding hangt niet eens aan internet. Mij te onduidelijk wat die apps allemaal doen.
Externe clouddiensten hebben dit vast beter voor elkaar, en als ze gehacked worden is het niet jouw probleem.
Geef ze de kost zou ik zeggen...
Geef ze de kost zou ik zeggen...
Geef ze de kost zou ik zeggen...
service die de connecties forward over een permanent open staande uitgaande verbinding. (zeg maar een soort VPN)
Normaal is NAT een redelijke beveiliging tegen inkomende dreigingen, maar dat werkt niet als de toepassingen deze
beveiliging saboteren.
Het gaat hier om een on-line fotoalbum. Het hele idee van dit programma is om foto's met bekenden te delen zonder ze bij een externe clouddienst te hoeven uploaden. Dan moet hij aan het internet hangen.
Zo zie je maar hoe onverstandig dat is. Synology heeft ook allemaal van dat soort apps maar ik heb ze er op het werk
op de NAS allemaal afgeknikkerd, en het ding hangt niet eens aan internet. Mij te onduidelijk wat die apps allemaal doen.
Externe clouddiensten hebben dit vast beter voor elkaar, en als ze gehacked worden is het niet jouw probleem.
Het gaat hier om een on-line fotoalbum. Het hele idee van dit programma is om foto's met bekenden te delen zonder ze bij een externe clouddienst te hoeven uploaden. Dan moet hij aan het internet hangen.
Zo zie je maar hoe onverstandig dat is. Synology heeft ook allemaal van dat soort apps maar ik heb ze er op het werk
op de NAS allemaal afgeknikkerd, en het ding hangt niet eens aan internet. Mij te onduidelijk wat die apps allemaal doen.
Externe clouddiensten hebben dit vast beter voor elkaar, en als ze gehacked worden is het niet jouw probleem.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.