SYSS-2016-048 – 2016-055: Mehrere kritische, unbehobene Schwachstellen in QNAP-Netzwerkspeichern

Neue Security Advisories von IT-Forensik Consultant Sebastian Nerz

QNAP ist ein Hersteller einer relativ bekannten Serie von Netzwerkspeicherlösungen. Diese werden vor allem in kleineren und mittelständischen Unternehmen eingesetzt. Mit aktuellen Produkten geht QNAP aber auch an den Markt für größere Unternehmen.

Auch die SySS setzt teilweise QNAP-Lösungen für einige Spezialfälle ein, so beispielsweise als Speicher für Backups in Netzwerken, die von der restlichen Infrastruktur getrennt sind.

Natürlich überprüfen wir routinemäßig eingesetzte Hard- und Software auf Sicherheitsfehler. Netzwerkspeicher sind nun softwareseitig keine ganz triviale Angelegenheit und wenig überraschend finden sich einige durchaus kritische Sicherheitslücken. Diese erlauben es angemeldeten Anwendern - egal, welche Rechte sie haben - die Kontrolle über das System zu übernehmen und beliebige Befehle auf dem Gerät auszuführen. Weitere Funde erlauben das Ausführen von JavaScript-Code im Browser anderer Besucher, wenn diese beispielsweise einen bestimmten Pfad aufrufen oder eine bestimmte URL anklicken.

Die SySS praktiziert ein Responsible Disclosure, d.h. wir informieren Hersteller über Sicherheitslücken und lassen ihnen viel Zeit für die Behebung. So ist es auch hier geschehen. Leider hat QNAP unsere Funde zwar bestätigt, danach aber jede weitere Information verweigert. Aktuell wurde eine neue Firmware für QNAP-Geräte veröffentlicht (4.2.2 Build 2016/08/12). Die Release-Informationen enthalten keinerlei Hinweise auf behobene Sicherheitsschwachstellen - und tatsächlich wurden sie auch nicht behoben.

Folgende Sicherheitslücken wurden von uns gefunden und jeweils an dem angegebenen Tag an den Hersteller gemeldet. Detaillierte Informationen zu den Schwachstellen finden Sie in unseren Security Advisories (You will find detailed information about these security issues in our Security Advisories): 

Nach Installation der aktuellen Firmware wurden die Sicherheitslücken von uns erneut getestet. QNAP hat in den vergangenen zwei Monaten leider keine einzige der Sicherheitslücken behoben. Bei Sicherheitslücke SYSS-2016-053 muss nun ein Bild als Profilbild statt als Wallpaper hochgeladen werden, die Sicherheitslücke an sich wurde nicht behoben.

Die SySS empfiehlt Nutzern eines QNAP-Netzwerkspeichers, dringend die Zugriffsberechtigungen so einzuschränken, dass nur vertrauenswürdige, administrative Nutzer überhaupt Zugriff auf die Geräte nehmen zu können. Weiterhin empfiehlt die SySS, starke Passwörter zu verwenden und den netzwerkseitigen Zugang auf die Geräte so stark wie möglich einzuschränken, sie insbesondere nicht in öffentlichen Netzwerken erreichbar zu machen. 

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer