Nieuws
image

30.000 QNAP NAS-systemen missen update voor kritiek beveiligingslek

woensdag 1 februari 2023, 09:02 door Redactie, 6 reacties

Dertigduizend NAS-systemen van fabrikant QNAP missen een beveiligingsupdate voor een kritieke kwetsbaarheid waardoor een aanvaller de apparaten op afstand kan overnemen, zo stelt securitybedrijf Censys op basis van eigen onderzoek. Afgelopen maandag waarschuwde QNAP voor een kritiek beveiligingslek in QTS 5.0.1 en QuTS hero h5.0.1, het besturingssysteem dat op de apparaten van de NAS-fabrikant draait.

Volgens Censys gaat het om een SQL-injection kwetsbaarheid waardoor een remote aanvaller kwaadaardige code op het NAS-systeem kan injecteren. Het beveiligingslek vereist geen authenticatie en zou eenvoudig te misbruiken zijn. Het probleem is verholpen in QTS 5.0.1.2234 build 20221201 en nieuwer en QuTS hero h5.0.1.2248 build 20221215 en nieuwer. Censys voerde een scan uit op internet en detecteerde meer dan 67.000 QNAP-systemen.

Van ruim dertigduizend NAS-apparaten was het mogelijk om het versienummer vast te stellen. Dan blijkt dat zo'n 550 QNAP-systemen up-to-date zijn, terwijl bijna 30.000 apparaten de kritieke beveiligingsupdate missen en daardoor risico lopen. De meeste kwetsbare systemen werden aangetroffen in de Verenigde Staten, Italië en Taiwan. In het verleden zijn kwetsbaarheden in de software van QNAP gebruikt voor ransomware-aanvallen op NAS-apparaten. Gebruikers wordt dan ook aangeraden hun systemen te updaten.

Reacties (6)
01-02-2023, 09:07 door _R0N_
QNAP devices zijn gemaakt voor de thuisgebruiker, de thuisgebruiker zit niet de hele dag in de GUI van dat ding te gluren en mist dus regelmatig dat er iets staat te knipperen over updates etc.

Het vervelende is dat ooit, in alle wijsheid, besloten is uit marketingoverwegingen een oplossing in te knutselen waarmee je op afstand kunt verbinden naar dat ding door hem direct aan het internet te hangen. Daar plukt men nu de vruchten van.
01-02-2023, 10:03 door Bitje-scheef
Hoe komt QNAP met de gebruikers in contact ? Email ? Of alleen via de GUI.
01-02-2023, 10:29 door _R0N_
Door Bitje-scheef: Hoe komt QNAP met de gebruikers in contact ? Email ? Of alleen via de GUI.

Ik gok alleen via de GUI, als je zo'n ding koopt is het niet dat je hem alleen kunt gebruiken door je gegevens achter te laten bij QNAP.
01-02-2023, 15:35 door Anoniem
Door _R0N_: QNAP devices zijn gemaakt voor de thuisgebruiker, de thuisgebruiker zit niet de hele dag in de GUI van dat ding te gluren en mist dus regelmatig dat er iets staat te knipperen over updates etc.
Daarom is het ook verstandiger om dergelijke spullen van een auto-update functie te voorzien die default aan staat en
die alleen door betweters van het security.nl forum uitgeschakeld hoeft te worden. Dan heb je geen last van 30000
kwetsbare installaties (hopelijk)...
Bij Synology werkt dat wel goed, die hoor je dan ook niet steeds hierover.
01-02-2023, 20:45 door Anoniem
Door Anoniem:
Door _R0N_: QNAP devices zijn gemaakt voor de thuisgebruiker, de thuisgebruiker zit niet de hele dag in de GUI van dat ding te gluren en mist dus regelmatig dat er iets staat te knipperen over updates etc.
Daarom is het ook verstandiger om dergelijke spullen van een auto-update functie te voorzien die default aan staat en
die alleen door betweters van het security.nl forum uitgeschakeld hoeft te worden. Dan heb je geen last van 30000
kwetsbare installaties (hopelijk)...
Bij Synology werkt dat wel goed, die hoor je dan ook niet steeds hierover.
Dan moet dat update mechabisme wel blijven werken. Op mijn windows8 werkte dat ineens niet meer.
03-02-2023, 17:10 door Anoniem
Door _R0N_:
Door Bitje-scheef: Hoe komt QNAP met de gebruikers in contact ? Email ? Of alleen via de GUI.

Ik gok alleen via de GUI, als je zo'n ding koopt is het niet dat je hem alleen kunt gebruiken door je gegevens achter te laten bij QNAP.

Het is aan de eigenaar/gebruiker zelf om dat naar eigen goeddunken te configureren:
- informatie via GUI en/of via mail
- automatische download en/of automatische installatie van kritieke updates aan/uit

In basis wel goed dat dit zelf in te stellen is; nieuwe releases/updates blinken nou niet altijd uit in stabiliteit (niet specifiek bij QNAP overigens), dus soms wil je liever even wachten. In dat geval kan je bijvoorbeeld de toegang via internet tijdelijk uitschakelen tot er een stabiele fix beschikbaar is.
Ik vrees echter dat veel eigenaren/gebruikers nauwelijks weten wat ze aan het doen zijn en dus maar zo'n beetje in het wilde weg opties aan- of uitzetten. Of alles uitzetten dat als 'lastig' ervaren wordt. Dan krijg je dit soort ellende. Eigen schuld dikke bult hoor, in dat geval, geen medelijden mee.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search