Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Legacy QNAP NAS-systeem door kwetsbaarheid op afstand over te nemen

vrijdag 2 april 2021, 12:11 door Redactie, 1 reacties

Twee kwetsbaarheden in een NAS-systeem van fabrikant QNAP maken het voor een aanvaller mogelijk om het systeem op afstand en zonder authenticatie over te nemen. Een beveiligingsupdate is nog niet beschikbaar gemaakt. De beveiligingslekken zijn onder andere aanwezig in de QNAP TS-231. Dit NAS-systeem wordt niet meer door QNAP ondersteund. Toch maakt de fabrikant vanwege de impact een uitzondering en heeft updates aangekondigd.

De eerste kwetsbaarheid, CVE-2020-2509, maakt remote code execution mogelijk, en is verholpen in QTS-firmware versie 4.5.2.1566 (build 20210202) en versie 4.5.1.1495 (build 20201123). Firmwareversies hiervoor zijn kwetsbaar. Het probleem is aanwezig in de NAS-webserver en laat een aanvaller die hier toegang toe heeft willekeurige shellcommando's uitvoeren. De aanvaller hoeft zich niet eerst te authenticeren.

De tweede kwetsbaarheid, CVE-2021-36195, laat een aanvaller die toegang tot de DLNA-server van het NAS-systeem heeft willekeurige data naar elke locatie toeschrijven. Ook kan dit lek worden gebruikt om willekeurige commando's op het systeem uit te voeren. Wederom is authenticatie niet vereist. De onderzoekers hebben een demonstratie gemaakt waarin ze laten zien hoe kwetsbare NAS-systemen zijn over te nemen.

De beveiligingslekken werden gevonden door onderzoekers van SAM Seamless Network. Aangezien er nog geen updates voor de QNAP TS-231 beschikbaar zijn hebben ze uitgebreide details achterwege gelaten. QNAP werd op 12 oktober vorig jaar ingelicht. De NAS-fabrikant laat tegenover Threatpost weten dat de kwetsbaarheden in QTS 4.5.2.1566 (build 20210202) en QTS 4.5.1.1495 (build 20201123) zijn verholpen. De release notes melden dat er kwetsbaarheden in verschillende onderdelen zijn opgelost, maar geven geen CVE-nummers of specifieke details.

De QNAP TS-231 is inmiddels end-of-life, wat inhoudt dat de NAS geen beveiligingsupdates meer ontvangt. Toch laat QNAP weten dat het vanwege de impact van de kwetsbaarheden ook voor dit legacy model op korte termijn met updates komt. Volgens de onderzoekers lopen tienduizenden QNAP NAS-systemen die vanaf internet toegankelijk zijn risico.

Lek in Apple Mail maakte diefstal van e-mails en accounts mogelijk
Amerikaanse staat staakt alle autokeuringen na malware-aanval
Reacties (1)
Reageer met quote
02-04-2021, 15:08 door Anoniem
Ik heb een Qnap Nas TS228A daar staat de firmware versie 4.5.2.1594 op.
Misschien zijn hier wel naar Verluidt alle kwetsbaarheden die gemeld zijn verholpen.
Tevens zijn er ook nog wat apps bijgewerkt naderhand.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Certified Secure LIVE Online training

CoronaCheck app voor toegang tot sociale activiteiten:

25 reacties
Aantal stemmen: 1045
Wetsvoorstel dat toegang via testbewijzen regelt naar Tweede Kamer
19-04-2021 door Redactie

Het wetsvoorstel dat ervoor zorgt dat testbewijzen kunnen worden ingezet voor toegang tot activiteiten zoals sportwedstrijden, ...

30 reacties
Lees meer
Is strafrechtelijke vervolging van verkoop van gamecheats ook denkbaar in Nederland?
14-04-2021 door Arnoud Engelfriet

Juridische vraag: In de media wordt bericht dat in China een crimineel collectief is opgepakt dat gamecheats verkocht. Volgens ...

10 reacties
Lees meer
Datalek bij nieuwbouw
13-04-2021 door Anoniem

In de randstand was het begin deze maand mogelijk om je in te schrijven voor een loting van 28 nieuwbouw huizen. Om zo ...

14 reacties
Lees meer
Beste manier om een wachtwoord te bewaren?
09-04-2021 door EenVraag

Iemand enig idee wat de beste manier is om een wachtwoord te bewaren?

17 reacties
Lees meer
Datakluis als gouden kogel tegen datalekken?
15-04-2021 door Anoniem

Bij een webwinkel waar net een datalek is geweest staat de volgende tekst op de site Welke maatregelen neemt X om herhaling ...

22 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter