Hi Leute,
ich habe heute vom DFN-CERT-Team eine solche automatische Warnmeldung bekomen:
In den letzten Tagen erhielten wir Informationen über mögliche Sicherheitsprobleme auf Systemen in ihrem Netzwerk.
Meldungen:
IP-Adresse Meldungstyp Anzahl Zuletzt gesehen
-------------------------------------------------------------------------------------
xxx.xxx.xxx.xxx Configuration/Unsafe Cryptography 1 2016-02-09 02:20:33+00:00
Weitere Informationen zu den Meldungstypen und dem Dienst allgemein sind auf den
Seiten des DFN zu finden:
http://www.cert.dfn.de/autowarn
Wir stehen natürlich für Rückfragen unter <cert@dfn-cert.de> zur Verfügung.
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Details zu den Meldungen pro IP:
==============================================================================
IP-Adresse: xxx.xxx.xxx.xx
Meldungstyp: Configuration/Unsafe Cryptography
Zeitstempel: 2016-02-09 02:20:33+00:00
Anzahl: 1
Beschreibung: Die kryptographische Absicherung eines von diesem System
angebotenen Dienstes weist Schwachstellen auf. Diese
Schwachstellen ermöglichen Angreifern abhängig von ihrer
Position im Netzwerk verschlüsselt übertragene Daten zu
entschlüsseln oder zu verändern.
Aktuell sind Systeme von einer Schwachstelle im SSLv2
Protokoll mit dem Namen DROWN betroffen.
Weitere Details dazu finden sich auf http://drownattack.com.
Zuletzt gesehen Port Schwachstelle
---------------------------------------------------------
2016-02-09 02:20:33+00:00 443 DROWN
--
Incident Response Team, DFN-CERT Services GmbH
https://www.dfn-cert.de/, +49 40 808077-590
Alles anzeigen
Passend dazu gibt es ja auch diverse Sicherheitswarnungen in der Presse (z:b: @heise.de: "DROWN-Angriff: SSL-Protokoll aus der Steinzeit wird Servern zum Verhängnis", http://heise.de/-3121121).
Natürlich ist es im Prizip keine gute Idee ein NAS 'ungeschützt' aus dem internet erreichbar zu machen, aber es gibt halt immer wieder Fälle wo dieses doch, wenn auch nur temporär, notwendig ist.
Nun zu meiner Frage: Hat jemand Kenntnis, ob man das SSLv2-Problem mit einer Konfigurationseinstellung ändern kann (QNAP TS-669 Pro, installierte Firmware: 4.2.1 2016/02/01) oder ob man auf ein baldiges Firmwareupdate/-patch hoffen muss?
Na, ja ich werde das Teil wohl erst mal im Zugriff einschränken müssen, bis die Sache geklärt ist. Die Nutzer werden wohl nicht sehr froh darüber sein.
Gruß,
juw