Twee kwetsbaarheden in een NAS-systeem van fabrikant QNAP maken het voor een aanvaller mogelijk om het systeem op afstand en zonder authenticatie over te nemen. Een beveiligingsupdate is nog niet beschikbaar gemaakt. De beveiligingslekken zijn onder andere aanwezig in de QNAP TS-231. Dit NAS-systeem wordt niet meer door QNAP ondersteund. Toch maakt de fabrikant vanwege de impact een uitzondering en heeft updates aangekondigd.
De eerste kwetsbaarheid, CVE-2020-2509, maakt remote code execution mogelijk, en is verholpen in QTS-firmware versie 4.5.2.1566 (build 20210202) en versie 4.5.1.1495 (build 20201123). Firmwareversies hiervoor zijn kwetsbaar. Het probleem is aanwezig in de NAS-webserver en laat een aanvaller die hier toegang toe heeft willekeurige shellcommando's uitvoeren. De aanvaller hoeft zich niet eerst te authenticeren.
De tweede kwetsbaarheid, CVE-2021-36195, laat een aanvaller die toegang tot de DLNA-server van het NAS-systeem heeft willekeurige data naar elke locatie toeschrijven. Ook kan dit lek worden gebruikt om willekeurige commando's op het systeem uit te voeren. Wederom is authenticatie niet vereist. De onderzoekers hebben een demonstratie gemaakt waarin ze laten zien hoe kwetsbare NAS-systemen zijn over te nemen.
De beveiligingslekken werden gevonden door onderzoekers van SAM Seamless Network. Aangezien er nog geen updates voor de QNAP TS-231 beschikbaar zijn hebben ze uitgebreide details achterwege gelaten. QNAP werd op 12 oktober vorig jaar ingelicht. De NAS-fabrikant laat tegenover Threatpost weten dat de kwetsbaarheden in QTS 4.5.2.1566 (build 20210202) en QTS 4.5.1.1495 (build 20201123) zijn verholpen. De release notes melden dat er kwetsbaarheden in verschillende onderdelen zijn opgelost, maar geven geen CVE-nummers of specifieke details.
De QNAP TS-231 is inmiddels end-of-life, wat inhoudt dat de NAS geen beveiligingsupdates meer ontvangt. Toch laat QNAP weten dat het vanwege de impact van de kwetsbaarheden ook voor dit legacy model op korte termijn met updates komt. Volgens de onderzoekers lopen tienduizenden QNAP NAS-systemen die vanaf internet toegankelijk zijn risico.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Het wetsvoorstel dat ervoor zorgt dat testbewijzen kunnen worden ingezet voor toegang tot activiteiten zoals sportwedstrijden, ...
Juridische vraag: In de media wordt bericht dat in China een crimineel collectief is opgepakt dat gamecheats verkocht. Volgens ...
In de randstand was het begin deze maand mogelijk om je in te schrijven voor een loting van 28 nieuwbouw huizen. Om zo ...
Iemand enig idee wat de beste manier is om een wachtwoord te bewaren?
Bij een webwinkel waar net een datalek is geweest staat de volgende tekst op de site Welke maatregelen neemt X om herhaling ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.