SYSS-2016-048 – 2016-055: Mehrere kritische, unbehobene Schwachstellen in QNAP-Netzwerkspeichern

QNAP ist ein Hersteller einer relativ bekannten Serie von Netzwerkspeicherlösungen. Diese werden vor allem in kleineren und mittelständischen Unternehmen eingesetzt. Mit aktuellen Produkten geht QNAP aber auch an den Markt für größere Unternehmen.

Auch die SySS setzt teilweise QNAP-Lösungen für einige Spezialfälle ein, so beispielsweise als Speicher für Backups in Netzwerken, die von der restlichen Infrastruktur getrennt sind.

Natürlich überprüfen wir routinemäßig eingesetzte Hard- und Software auf Sicherheitsfehler. Netzwerkspeicher sind nun softwareseitig keine ganz triviale Angelegenheit und wenig überraschend finden sich einige durchaus kritische Sicherheitslücken. Diese erlauben es angemeldeten Anwendern - egal, welche Rechte sie haben - die Kontrolle über das System zu übernehmen und beliebige Befehle auf dem Gerät auszuführen. Weitere Funde erlauben das Ausführen von JavaScript-Code im Browser anderer Besucher, wenn diese beispielsweise einen bestimmten Pfad aufrufen oder eine bestimmte URL anklicken.

Die SySS praktiziert ein Responsible Disclosure, d.h. wir informieren Hersteller über Sicherheitslücken und lassen ihnen viel Zeit für die Behebung. So ist es auch hier geschehen. Leider hat QNAP unsere Funde zwar bestätigt, danach aber jede weitere Information verweigert. Aktuell wurde eine neue Firmware für QNAP-Geräte veröffentlicht (4.2.2 Build 2016/08/12). Die Release-Informationen enthalten keinerlei Hinweise auf behobene Sicherheitsschwachstellen - und tatsächlich wurden sie auch nicht behoben.

Folgende Sicherheitslücken wurden von uns gefunden und jeweils an dem angegebenen Tag an den Hersteller gemeldet. Detaillierte Informationen zu den Schwachstellen finden Sie in unseren Security Advisories (You will find detailed information about these security issues in our Security Advisories): 

• 03.06.2016 OS Command Injection SYSS-2016-048
• 03.06.2016 Persistent/Stored Cross-Site Scripting SYSS-2016-049
• 03.06.2016 Persistent/Stored Cross-Site Scripting SYSS-2016-050
• 06.06.2016 Reflected Cross-Site Scripting SYSS-2016-051
• 06.06.2016 OS Command Injection SYSS-2016-052
• 06.06.2016 Arbitrary File Overwrite SYSS-2016-053
• 07.06.2016 OS Command Injection SYSS-2016-054
• 08.06.2016 OS Command Injection SYSS-2016-055 

Nach Installation der aktuellen Firmware wurden die Sicherheitslücken von uns erneut getestet. QNAP hat in den vergangenen zwei Monaten leider keine einzige der Sicherheitslücken behoben. Bei Sicherheitslücke SYSS-2016-053 muss nun ein Bild als Profilbild statt als Wallpaper hochgeladen werden, die Sicherheitslücke an sich wurde nicht behoben.

Die SySS empfiehlt Nutzern eines QNAP-Netzwerkspeichers, dringend die Zugriffsberechtigungen so einzuschränken, dass nur vertrauenswürdige, administrative Nutzer überhaupt Zugriff auf die Geräte nehmen zu können. Weiterhin empfiehlt die SySS, starke Passwörter zu verwenden und den netzwerkseitigen Zugang auf die Geräte so stark wie möglich einzuschränken, sie insbesondere nicht in öffentlichen Netzwerken erreichbar zu machen. 

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.