[Bug] Sicherheitslücke in QFinder

Hallo!
Bei einigen Tests in meinem Netzwerk ist mir aufgefallen, dass QNAP eine riesige Sicherheitslücke im QFinder hat. Dies kann insbesondere in Firmennetzwerken zum Tragen kommen, wenn dort die NAS über den QFinder gemanaged und insbesondere upgedatet werden. Dabei sendet der QFinder bei jeder Aktion, welche eine Anmeldung erfordert, das Administrationskennwort im Klartext an die Broadcastadresse 255.255.255.255 (siehe Anhang). Gerade bei einem FW-Update wird so das Kennwort mehrere Minuten lang im Zehntelsekundentakt ins Netzwerk gespammt, sodass jeder mit einem simplen Tool (zb. Wireshark) an jedem x-beliebigen Rechner im Sub-Netz das Administrations-Login herausbekommen kann.
Richtig ungemütlich wird es, wenn im Subnetz ein Wireless-Gerät hängt. Dann kann so ziemlich jeder in Reichweite diese Daten erhalten.
Ich würde daher empfehlen, den QFinder nichtmehr für Administrative Zwecke zu verwenden und statt dessen die QNAP's nur noch über eine SSL-Verbindung per Weboberfläche zu managen.

Ich wünsche trotzdem Allen frohe Ostern.

blade
Ich habe das gleiche Thema im offiziellen QNAP-Forum veröffentlicht. http://forum.qnap.com/viewtopic.php?f=57&t=73693
christian
Das ist per Design und unabhängig von der Version.

Zitat von "schumaku"

Und nicht mal für die Neuinstallation braucht es den QNAP Finder wirklich...

Das sehe ich genau so.
Ich wollte aber zumindest mal auf das Problem aufmerksam machen, da ich vermute, dass es kaum jemand kennt.

Zitat von "GorillaBD"

wenn ich mir den "Synology Assistant" so anschaue.

Den kenne ich nicht, könnte mir aber vorstellen, dass der an genau der selben Sicherheitslücke krankt.

Das UDP-Protokoll ist ja recht simpel und dafür geeignet einen Netzwerkteilnehmer zu finden, wenn die IP unbekannt ist. Jedoch wenn er dann bekannt ist, dann sollte man auf sicherere Protokolle setzen, wenn man solch ein Tool anbietet.