image

QNAP verhelpt twee jaar oude kwetsbaarheden in NAS-systemen

vrijdag 5 juni 2020, 09:33 door Redactie, 4 reacties

Drie kwetsbaarheden in de NAS-systemen van QNAP die twee jaar geleden aan de fabrikant werden gemeld zijn eindelijk verholpen. Via de beveiligingslekken zou een aanvaller kwaadaardige code kunnen injecteren of willekeurige commando's op NAS-systemen kunnen uitvoeren.

Zo was het mogelijk om via bestandsnamen met kwaadaardige html-tags willekeurige JavaScript uit te voeren en zo bijvoorbeeld de sessioncookies van de gebruiker te stelen. Een andere aanval maakte het mogelijk om via een aangemaakte gebruikersnaam commando's uit te voeren. QTS, het besturingssysteem van de NAS, stond het toe dat er gebruikersnamen met een Bash-syntax werden aangemaakt, waarna het opgegeven Bash-commando werd uitgevoerd. Om deze aanval uit voeren moest een aanvaller wel al over beheerdersrechten beschikken.

Als laatste is er een kwetsbaarheid verholpen die het mogelijk maakte om via de "description" van een gebruiker willekeurige JavaScript uit te voeren. Hiervoor moest er een link via het File Station van de NAS worden aangemaakt om bestanden op de NAS met anderen te delen. Wanneer deze andere gebruikers de gedeelde link van de gebruiker met de speciale description zouden bekijken werd de JavaScriptcode uitgevoerd. Ook via deze manier was het mogelijk om bijvoorbeeld sessioncookies te stelen.

QNAP omschrijft de impact van de kwetsbaarheden als "high". De NAS-fabrikant werd op 24 mei 2018 door securitybedrijf Independent Security Evaluators (ISE) over de beveiligingslekken geïnformeerd. In januari 2019 publiceerde ISE details over de kwetsbaarheden. Vandaag laat QNAP weten dat de problemen zijn verholpen. Dit is gedaan via nieuwe versies van QTS die in april en mei zijn verschenen.

Reacties (4)
05-06-2020, 11:18 door Anoniem
Een van de redenen om dit soort systemen niet te gebruiken... De patches zijn, net als bij alle andere IoT apparaten, afhankelijk van de bereidheid van de fabrikant. Deze heeft een commerciële insteek en is dus niet altijd even snel.
05-06-2020, 13:47 door Bitje-scheef
Door Anoniem: Een van de redenen om dit soort systemen niet te gebruiken... De patches zijn, net als bij alle andere IoT apparaten, afhankelijk van de bereidheid van de fabrikant. Deze heeft een commerciële insteek en is dus niet altijd even snel.

Ja, maar dit is ook per fabrikant verschillend daarnaast is de prijs een factor voor veel mensen. Deze systemen zijn net aan handig genoeg in een netwerk en zijn relatief betaalbaar.

(aanrader voor de handige mensen: FreeNas (TrueNas voor professionele support) en de thuisgebruiker XigmaNas).
05-06-2020, 15:09 door Anoniem
Door Anoniem: Een van de redenen om dit soort systemen niet te gebruiken... De patches zijn, net als bij alle andere IoT apparaten, afhankelijk van de bereidheid van de fabrikant. Deze heeft een commerciële insteek en is dus niet altijd even snel.

Beetje kort door de bocht. Zelf goede ervaringen met Synology, regelmatig updates die je automatisch of handmatig kunt installeren. En gelet op de meldingen over problemen, zijn de updates snel. Zelf stellen ze, dat ze streven naar een fix binnen 24 uur.
06-06-2020, 12:57 door Anoniem
Bij QNAP staat ook werkelijk alles open. Wilde jaren geleden eentje aanschaffen maar realiseerde me snel dat ik dat ding buiten de DMZ binnen een goede firewall moet zetten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.