Nieuws
image

30.000 QNAP NAS-systemen missen update voor kritiek beveiligingslek

woensdag 1 februari 2023, 09:02 door Redactie, 6 reacties

Dertigduizend NAS-systemen van fabrikant QNAP missen een beveiligingsupdate voor een kritieke kwetsbaarheid waardoor een aanvaller de apparaten op afstand kan overnemen, zo stelt securitybedrijf Censys op basis van eigen onderzoek. Afgelopen maandag waarschuwde QNAP voor een kritiek beveiligingslek in QTS 5.0.1 en QuTS hero h5.0.1, het besturingssysteem dat op de apparaten van de NAS-fabrikant draait.

Volgens Censys gaat het om een SQL-injection kwetsbaarheid waardoor een remote aanvaller kwaadaardige code op het NAS-systeem kan injecteren. Het beveiligingslek vereist geen authenticatie en zou eenvoudig te misbruiken zijn. Het probleem is verholpen in QTS 5.0.1.2234 build 20221201 en nieuwer en QuTS hero h5.0.1.2248 build 20221215 en nieuwer. Censys voerde een scan uit op internet en detecteerde meer dan 67.000 QNAP-systemen.

Van ruim dertigduizend NAS-apparaten was het mogelijk om het versienummer vast te stellen. Dan blijkt dat zo'n 550 QNAP-systemen up-to-date zijn, terwijl bijna 30.000 apparaten de kritieke beveiligingsupdate missen en daardoor risico lopen. De meeste kwetsbare systemen werden aangetroffen in de Verenigde Staten, Italië en Taiwan. In het verleden zijn kwetsbaarheden in de software van QNAP gebruikt voor ransomware-aanvallen op NAS-apparaten. Gebruikers wordt dan ook aangeraden hun systemen te updaten.

Reacties (6)
Reageer met quote
01-02-2023, 09:07 door _R0N_
QNAP devices zijn gemaakt voor de thuisgebruiker, de thuisgebruiker zit niet de hele dag in de GUI van dat ding te gluren en mist dus regelmatig dat er iets staat te knipperen over updates etc.

Het vervelende is dat ooit, in alle wijsheid, besloten is uit marketingoverwegingen een oplossing in te knutselen waarmee je op afstand kunt verbinden naar dat ding door hem direct aan het internet te hangen. Daar plukt men nu de vruchten van.
Reageer met quote
01-02-2023, 10:03 door Bitje-scheef
Hoe komt QNAP met de gebruikers in contact ? Email ? Of alleen via de GUI.
Reageer met quote
01-02-2023, 10:29 door _R0N_
Door Bitje-scheef: Hoe komt QNAP met de gebruikers in contact ? Email ? Of alleen via de GUI.

Ik gok alleen via de GUI, als je zo'n ding koopt is het niet dat je hem alleen kunt gebruiken door je gegevens achter te laten bij QNAP.
Reageer met quote
01-02-2023, 15:35 door Anoniem
Door _R0N_: QNAP devices zijn gemaakt voor de thuisgebruiker, de thuisgebruiker zit niet de hele dag in de GUI van dat ding te gluren en mist dus regelmatig dat er iets staat te knipperen over updates etc.
Daarom is het ook verstandiger om dergelijke spullen van een auto-update functie te voorzien die default aan staat en
die alleen door betweters van het security.nl forum uitgeschakeld hoeft te worden. Dan heb je geen last van 30000
kwetsbare installaties (hopelijk)...
Bij Synology werkt dat wel goed, die hoor je dan ook niet steeds hierover.
Reageer met quote
01-02-2023, 20:45 door Anoniem
Door Anoniem:
Door _R0N_: QNAP devices zijn gemaakt voor de thuisgebruiker, de thuisgebruiker zit niet de hele dag in de GUI van dat ding te gluren en mist dus regelmatig dat er iets staat te knipperen over updates etc.
Daarom is het ook verstandiger om dergelijke spullen van een auto-update functie te voorzien die default aan staat en
die alleen door betweters van het security.nl forum uitgeschakeld hoeft te worden. Dan heb je geen last van 30000
kwetsbare installaties (hopelijk)...
Bij Synology werkt dat wel goed, die hoor je dan ook niet steeds hierover.
Dan moet dat update mechabisme wel blijven werken. Op mijn windows8 werkte dat ineens niet meer.
Reageer met quote
03-02-2023, 17:10 door Anoniem
Door _R0N_:
Door Bitje-scheef: Hoe komt QNAP met de gebruikers in contact ? Email ? Of alleen via de GUI.

Ik gok alleen via de GUI, als je zo'n ding koopt is het niet dat je hem alleen kunt gebruiken door je gegevens achter te laten bij QNAP.

Het is aan de eigenaar/gebruiker zelf om dat naar eigen goeddunken te configureren:
- informatie via GUI en/of via mail
- automatische download en/of automatische installatie van kritieke updates aan/uit

In basis wel goed dat dit zelf in te stellen is; nieuwe releases/updates blinken nou niet altijd uit in stabiliteit (niet specifiek bij QNAP overigens), dus soms wil je liever even wachten. In dat geval kan je bijvoorbeeld de toegang via internet tijdelijk uitschakelen tot er een stabiele fix beschikbaar is.
Ik vrees echter dat veel eigenaren/gebruikers nauwelijks weten wat ze aan het doen zijn en dus maar zo'n beetje in het wilde weg opties aan- of uitzetten. Of alles uitzetten dat als 'lastig' ervaren wordt. Dan krijg je dit soort ellende. Eigen schuld dikke bult hoor, in dat geval, geen medelijden mee.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search