SSL-DROWN-Angriff

juw · 2. März 2016

Hi Leute,

ich habe heute vom DFN-CERT-Team eine solche automatische Warnmeldung bekomen:

Code

In den letzten Tagen erhielten wir Informationen über mögliche Sicherheitsprobleme auf Systemen in ihrem Netzwerk.


Meldungen:
IP-Adresse       Meldungstyp                        Anzahl  Zuletzt gesehen
-------------------------------------------------------------------------------------
xxx.xxx.xxx.xxx  Configuration/Unsafe Cryptography  1       2016-02-09 02:20:33+00:00


Weitere Informationen zu den Meldungstypen und dem Dienst allgemein sind auf den 
Seiten des DFN zu finden:
   http://www.cert.dfn.de/autowarn
Wir stehen natürlich für Rückfragen unter <cert@dfn-cert.de> zur Verfügung.


Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Details zu den Meldungen pro IP:
==============================================================================
IP-Adresse:   xxx.xxx.xxx.xx
Meldungstyp:  Configuration/Unsafe Cryptography
Zeitstempel:  2016-02-09 02:20:33+00:00
Anzahl:       1
Beschreibung: Die kryptographische Absicherung eines von diesem System
              angebotenen Dienstes weist Schwachstellen auf. Diese
              Schwachstellen ermöglichen Angreifern abhängig von ihrer
              Position im Netzwerk verschlüsselt übertragene Daten zu
              entschlüsseln oder zu verändern.       
              Aktuell sind Systeme von einer Schwachstelle im SSLv2
              Protokoll mit dem Namen DROWN betroffen. 
              Weitere Details dazu finden sich auf http://drownattack.com.


Zuletzt gesehen             Port  Schwachstelle
---------------------------------------------------------
2016-02-09 02:20:33+00:00    443  DROWN


-- 
Incident Response Team, DFN-CERT Services GmbH
https://www.dfn-cert.de/, +49 40 808077-590

Alles anzeigen

Passend dazu gibt es ja auch diverse Sicherheitswarnungen in der Presse (z:b: @heise.de: "DROWN-Angriff: SSL-Protokoll aus der Steinzeit wird Servern zum Verhängnis", http://heise.de/-3121121).

Natürlich ist es im Prizip keine gute Idee ein NAS 'ungeschützt' aus dem internet erreichbar zu machen, aber es gibt halt immer wieder Fälle wo dieses doch, wenn auch nur temporär, notwendig ist.

Nun zu meiner Frage: Hat jemand Kenntnis, ob man das SSLv2-Problem mit einer Konfigurationseinstellung ändern kann (QNAP TS-669 Pro, installierte Firmware: 4.2.1 2016/02/01) oder ob man auf ein baldiges Firmwareupdate/-patch hoffen muss?

Na, ja ich werde das Teil wohl erst mal im Zugriff einschränken müssen, bis die Sache geklärt ist. Die Nutzer werden wohl nicht sehr froh darüber sein.

Gruß,
juw

juw · 3. März 2016

Also ich kann für meine Systeme erst einmal 'Entwarnung' sagen. Bei mir hatte sich eine ältere Fehlkonfiguration eingeschlichen (man soll eben nicht immer so viel selber in den config-Files 'herumpfuschen, vor allem wenn man das wieder vergisst :roll: ).

Mit der Standardkonfigurationen auf einem TS-669 Pro (FW: 4.2.1 2016/02/01) oder einem TS-219P II (FW: 4.2.0 2016/01/30):

Zitat

SSLProtocol All -SSLv2 -SSLv3

besteht diese Problem nicht mehr.
Auch hier nochmals Dank an den Hinweisgeber schumaku aus dem englischsprachigen Schwesterforum QNAP 4.2.1 + SSL-DROWN-Attack :thumb: .

Gruß
juw

SSL-DROWN-Angriff

QTS 5.2.0.2744 Build 20240424 Public Beta

Multiple Vulnerabilities in Media Streaming Add-on

QuTS hero h5.2.0.2737 Build 20240417 Public Beta

QTS 5.2.0.2737 Build 20240417 Public Beta

QuFirewall und Fritz!Box

QuFirewall Meldung "qufirewall firewall event capture was interrupted"

QNAP generiert falsches Let's Encrypt Zertifikat

FRAGE: Malware Remover läuft seit Stunden bei 70%. Ist das normal?

App Zugriff (von extern) auf verschlüsseltes Laufwerk

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

[QUICK HOW TO] QNAP Disks unter Windows mit UFS Explorer auslesen

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur