QNAP NAS-systemen via drie jaar oud lek voorzien van backdoor
Aanvallers maken gebruik van een drie jaar oude kwetsbaarheid om NAS-systemen van fabrikant QNAP van een backdoor te voorzien, stelt securitybedrijf Qihoo 360 in een analyse. QNAP-systemen zijn vaker het doelwit van aanvallen, maar volgens onderzoekers van het securitybedrijf was het nog niet bekend dat ervan het betreffende beveiligingslek gebruik werd gemaakt.
Via de kwetsbaarheid kan een ongeautenticeerde aanvaller op afstand commando's op het systeem uitvoeren. Het beveiligingslek is aanwezig in een CGI-programma gebruikt voor het uitloggen van de gebruiker. Dit programma blijkt gebruikersinvoer niet goed te filteren en roept de systeemfunctie aan voor het uitvoeren van een opgegeven string, waardoor command injection mogelijk is.
In het geval van een succesvolle aanval installeren de aanvallers een reverse shell, waarmee ze toegang tot het systeem houden. Verdere andere activiteiten, zoals bijvoorbeeld het versleutelen van bestanden voor losgeld of het gebruik van het NAS-systeem voor ddos-aanvallen zijn nog niet waargenomen.
Qihoo 360 informeerde QNAP waarop de NAS-fabrikant liet weten dat de onderliggende kwetsbaarheid al in 2017 via een update voor het QTS-besturingssysteem van de NAS-systemen was verholpen. Gebruikers wordt aangeraden om nieuwe firmware-updates tijdig te installeren en op ongewone processen en netwerkverbindingen te controleren.
Bedrijven wellicht minder snel, maar de gemiddelde particulier heeft zo'n ding om makkelijk en overal bij de fotos en muziek te komen.
Jouw compjoeter is toch ook verbonden met het internet?
Bedrijven wellicht minder snel, maar de gemiddelde particulier heeft zo'n ding om makkelijk en overal bij de fotos en muziek te komen.
Precies, voornamelijk de gemiddelde consument heeft gewoon "geen idee".
Wanneer ze een NAS kopen zien ze het als een "plug and play" apparaat, werkt het, dan raken ze het niet meer aan.
Zolang dit soort systemen niet automatisch updaten, zal een gemiddelde consument mogelijk kwetsbaar blijven.
Alleen consumenten die zich erin verdiepen snappen dat ze moeten updaten.
Ik heb wel eens mensen gesproken die een NAS kopen omdat ze bang zijn data verlies te krijgen op de PC/Laptop.
Wat doen ze kopen ze een NAS, die voorzien is van 2 disken. Kan je kiezen tussen RAID 0 en 1, waarbij natuurlijk RAID 0 een veel grotere opslag mogelijkheid bied. Ze kiezen dan dus door onwetendheid voor RAID 0.
Verplaatsen alle data naar de NAS, dus staat ook niet meer op de laptop/PC, want je kan het via het netwerk benaderen.
Nu denken ze veilig te zijn wanneer de PC/Laptop kapot gaat...... (maar vergeten dus dat een NAS ook kapot kan gaan).
Denk je dat dit soort consumenten dan firmware upgrades gaan uitvoeren, regelmatig?
Jouw compjoeter is toch ook verbonden met het internet?
Niet direct, achter NAT en dus niet direct benaderbaar op publiek IP en inkomend geen portforwards.
Jouw compjoeter is toch ook verbonden met het internet?
Niet direct, achter NAT en dus niet direct benaderbaar op publiek IP en inkomend geen portforwards.
Hoe worden gebruikers bereikt deze upgrades te installeren? (Waarom geen automatische updates?)
Hoe kan een gemiddelde consument "ongewone processen en netwerkverbindingen controleren", is daar een handleiding bij?
Alsof een gemiddelde consument constant zijn NAS in de gaten houdt, die zet het apparaat in een hoekje naast de router en zet deze aan, kijkt er niet meer naar om.
Even serieus.... Eigenlijk weet je al dat dit niet werkt doordat mensen al updates missen sinds 2017.
Hoe worden gebruikers bereikt deze upgrades te installeren? (Waarom geen automatische updates?)
Maar mainly draait het om protocollen als Upnp consumenter routers uit 2003-2016 die gewoon blind poorten naar binnen en naar buiten openzetten voor je.
Maar ik vind jet niet zo spannend want het gaat vooral om "niet updaten". al zou ik wel willen dat automatisch updaten per default aanstaat op unix like devices. (windows kan non MS apps nieteens updaten).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.