Naja die Lücke ist in der ganz aktuellen QVS für 4.3.6 enthalten.
Die ist seit dem 30.11.2018 bekannt und veröffentlicht seit dem 30.01.2019.
Wer die Kiste also in der Firma einsetzt, sollte sich über Absicherung ggf. Gedanken machen.
Auch die gerade erschienene neue QVS 3.1.1079 enthält laut der Changelog noch keinen Fix.
Da scheinen mir schon Zweifel zu kommen, ob die selber ihre Firmware/App Versionen auf aktuelle Schwachstellen testen.
Somit kann man nur im trüben fischen und hoffen, dass die Information - sprich das Security Advisory von der Music Station - Hand und Fuß hat.
Lasst uns doch statt im Trüben, besser versuchen, im Klaren zu fischen.
Z. B. können wir anfangen, aufzuschreiben, unter welchen Umständen es zum Befall mit der Malware gekommen ist.
So lassen sich sicher Gemeinsamkeiten feststellen und davon im besten Fall Antworten auf die Fragen hier ableiten.
Ein Anfang stelle ich mir so in der Art vor:
1) NAS Model
2) QTS Version
3) Malware bemerkt am ...
4) Malware bemerkt durch ...
5) Musicstation installiert, falls ja welche Version
6) Malware Removal Tool installiert, falls ja welche Version
7) Sonstige, nicht QNAP Apps installiert, falls ja welche
...
usw.
Alles in der Hoffnung, dass die Betroffenen diese Angaben noch haben, bereit sind, diese mit der Allgemeinheit zu teilen und dass das alles nicht gegen eine Regelung, Richtlinie oder dergleichen verstößt.
Ach ja, es ist natürlich auch von Vorteil, wenn die Betroffenen hier mitlesen und/oder man das bei Bedarf und Interesse irgendwie zentraler aufziehen kann!?
Gruß!
Tim
Ich finde den Vorschlag sinnvoll, gut und zielführend.
Ich bin nicht betroffen, kann leider (oder zum Glück) nichts dazu beisteuern.
wenn QANP deutlich von einem Befall durch die MusicStation spricht und so habe ich es bis jetzt verstanden und jemand anderes sagt, dass er diese nicht nutzt aber den Fehler trotzdem hat, so ist es ein schwaches Argument anzuführen, dass er andere 3rd Parts Apps nutzt.
Eine Schadsoftware/Malware sucht nie nur nach einer Sicherheitslücke. Dass bei sleven sehr gezielt und ausführlich nach Lücken gesucht wurde (wohl auch auf Grund veralteter FW) beschreibt er in seinem Beitrag selbst. Da es keine Logs mehr gibt kann man auch nicht sagen auf welchen Ports gesucht und gefunden wurde.
Wenn man logisch dran geht und angenommen nur der TS-Server vom Inet aus erreichbar war, dann ist dieser die höchstvermutete Einfallstelle.
Woher kommt der Verdacht des Befalls durch die MusicStation oder sind das untermauerte tatsachen?
phoneo Hallo Dirk,
Falls Du erneut den Versuch unternehmen solltest, mir auf Augenhöhe zu antworten, möchte ich Dich bitten, meine Argumente und meine persönliche Meinung nicht einfach so und ohne Beleg als Allgemeinplätze abzutun. Das ist schlechter Stil.
Auch nicht belegte Behauptungen, Unterstellungen und Glück als Argument, sind nicht hilfreich.
Anmerken möchte ich, dass Du Dir ganz allgemein keine Sorgen machen musst, dass hier jemand schlecht behandelt oder sogar diskrediert wird - das überlassen wir besser der Moderation, die sehr sicher ein wachsames Auge darauf hat.
Gruß und lass' Dir den nächsten Tee schmecken!
Tim
PS:
Hast Du Interesse daran, das Thema sachlich fortzuführen, können wir das jederzeit gerne per "Konversation" tun.
Hi Tim,
ständig nach unten zu schauen ist mir zu anstrengend. 
Ich denke, es sind auch genug der Worte gewechselt.
Gruß Dirk
ständig nach unten zu schauen ist mir zu anstrengend.
Oooch Dirk... Hast Du das wirklich nötig?
Ich denke, es sind auch genug der Worte gewechselt.
Na, da kommen wir ja doch noch zusammen! 
Gruß!
Tim
Es gibt zumindest wieder eine neue MusicStation, in der wieder etwas gefixed wurde.
Hallo Mavius!
Dankeschön!
Ich ergänze Deine Meldung noch mit dem 'change log':
Zitat von Change LogAlles anzeigenMusic Station 5.2.3 (2019/03/12)
[Fixed Issues]
Fixed a command injection vulnerability (CVE-2018-0729).
Music Station 5.1.7 (2019/03/12)
[Fixed Issues]
Fixed a command injection vulnerability (CVE-2018-0729).
Gruß!
Tim
Oooch Dirk... Hast Du das wirklich nötig?
Aaaach Tim ... ich nutzte nur deinen erneuten Versuch zu diskreditieren zu einem kleinen Konter. Verzeihung!
Moin, ich lese hier gerade diese Diskussion mit. Ja ich bin auch ein QNAP Neuling, habe aber bereits viele andere durch. Ich bin der Meinung dass QNAP's Politik gar nicht so schlecht ist. Ich kann das auch begründen.
Kein anderes NAS auf dem Markt ist in der Lage so vielfältig genutzt zu werden. QNAP erlaubt es als einziger Hersteller wirklich, dass tiefgreifende Änderungen (Einbindung anderer Stores) am System vorgenommen werden und warnt auch den Anwender, dass es hier ein potentielles Risiko gibt. Der (mögliche) Funktionsumfang ist riesig und dazu auch noch zu hohen aber fairen Preisen. Andere Hersteller machen einfach die Schotten dicht, haben wenig Funktionsumfang und haben es daher auch einfacher auf mögliche Schwachstellen zu reagieren.
Möglich, dass der Status sich nicht ändert, weil sie erst einmal herausfinden müssen, was diese Veränderungen am System vorgenommen hat und wer dafür verantwortlich ist. Bisher gibt es ja nur Vermutungen. Danach kann man dann einen Patch herausgeben.
Die Analyse von solchen Angriffen wird immer komplexer und verschlingt enorme Ressourcen, Zeit und Geld. Ich bin mir sicher, dass QNAP an dem Problem arbeitet, nur glaube ich dass es einfach auf deutsch gesagt "scheiß schwer" ist das Problem zu finden. Wer sich mit Exploits auskennt weiß, dass häufig mehrere Schwachstellen zusammen auftreten und ausgenutzt werden müssen um tatsächlich Schaden anzurichten. Die eine Bibliothek erlaubt es Rechte zu erlangen, der Browser oder MusicPlayer erlaubt es dann mit diesen Rechten auch tatsächlich Code auszuführen, der auch noch auf das System und eine Bestimmte Software in der passenden Version passen muss... es ist nicht so einfach wie man landläufig denkt. Früher war alles einfacher 
Aber die Tage sind rum (so aus Hackersicht). Allerdings macht das die Suche nach der Nadel im Heuhaufen für die betroffenen auch schwieriger. Und mir liegt keine Information vor, aus der hervorgeht, dass Qnap die befallenen Server auch zur Analyse vorliegen. Schadcode kann jetzt auf meinem NAS liegen. Wenn dieser dann in 3 Monaten mal aktiv wird... es ist ein enormer Aufwand das zurück zu verfolgen und oft nichtmal von Erfolg gekrönt. Erst wenn es viele Systeme gibt kann man auf Gemeinsamkeiten der Systeme Prüfen, kann Rückschlüsse ziehen.
Wichtig ist doch, dass das Problem bekannt ist, dass etwas getan wird und dass es nicht vertuscht wird. Wenn jetzt das "bashing" los geht, wird es doch nur dazu führen, dass immer mehr Firmen aus Angst vor dem - durchaus mächtigen - Nutzer versucht Lücken eher zu vertuschen als zu beheben.
Du sprichst mir aus der Seele. Ich bin der Meinung, wenn jemand "Enterprise-Erwartungen" an ein solches Gerät hat, dann muss er auch bereit sein, die Enterprise-Preise für ein SAN oder ähnliches zu bezahlen - z.B. Filer von NetApp oder ähnlichem. Da kann man sich dann auch auf hohem Niveau über Support oder ähnliches beschweren. Aber selbst dort ist man nicht vor Firmware-Problemen und ähnlichem sicher - ganz aktuell gab es auch dort wieder ein Problem - unterm Strich kochen die alle auch nur mit Wasser. Aber z.B. bei NettApp hat man zusätzlich noch den "Spass", dass man Support nur dann erhält, wenn das "Projekt" (sprich der Einsatzzweck) vorher seitens des Herstellers geprüft und genehmigt wurde. Auch eine Art sicherzustellen, dass alles funktioniert. Ich stelle mir gerade den Aufschrei vor, wenn QNAP auf die Idee kommen würde, Support nur zu leisten, wenn sie vorher geprüft haben, ob die NAS für den Einsatzzweck geeignet ist... Die meisten hier nutzen keine Enterprise-Produkte von QNAP, erwarten aber exakt den Support (und das entsprechende Verhalten) ohne die dafür notwendigen Preise zu bezahlen. Sorry, aber das ist - meiner Meinung nach - völlig daneben. Die eierlegende Wollmilchsau gibt es nicht - was auch immer die Hochglanzprospekte versprechen mögen - ein wenig gesunder Menschenverstand ist immer angebracht. Ich bin sicherlich kein QNAP-Fanboy, ich habe selbst bereits genügend Probleme gehabt - aber ich lebe damit. Wenn ich mehr will, muss ich mehr zahlen, also ist es meine Entscheidung. Lebe ich mit den Problemen die der geringe Preis mit sich bringt oder kann/will ich das nicht. Wenn nein, muss ich in ein völlig anderes Segment gehen. Ich bin für das, was ich für den Preis erhalten habe, zufrieden - wenn ich Probleme habe, dann gibt es nicht zuletzt dieses Forum in dem ich mir Hilfe holen kann.
In diesem Sinne einen schönen Tag,
Lauri
Na ja, es kommt immer auf die Art des Problems an.
Wenn Lücken im System sind (egal durch welche Aplikation/Anwendung) will ich darüber informiert werden.
rednag +1
Qnap steckt da echt den Kopf in den Sand - das bringt bekanntlich den Arsch in eine gefährliche Position
Wenn ich ein Produkt im professionellen Bereich einsetzen will, muss ich über die Probleme / Lösungen bescheid bekommen - und genau das passiert derzeit leider gar nicht.
Glücklicher Weise ist keines meiner Systeme betroffen - aber wer weis - mangels Info kann ich es auch nicht kontrollieren...
Laurenzis: Als Endanwender erwarte ich vom Hersteller genauso ernstgenommen zu werden, wie als Enterprise-Kunde. Ich erwarte nicht genauso priorisiert zu werden...
qnap: Eine Aussage, ob ihr an dem Malware-Problem noch arbeitet, wäre toll. Darunter versteh ich nicht nur die Beseitigung der Sicherheitslücke, sondern auch die Bereinigung der Systeme.
Ich bin der Meinung dass QNAP's Politik gar nicht so schlecht ist. Ich kann das auch begründen.
[...]
Ich bin der Meinung, wenn jemand "Enterprise-Erwartungen" an ein solches Gerät hat, dann muss er auch bereit sein, die Enterprise-Preise für ein SAN oder ähnliches zu bezahlen
Danke dafür, dass man hier durchaus auch noch realistische Einschätzungen und Begründungen lesen darf!
Und um beim Thema zu bleiben:
Ist oder war denn jemand der hier mitliest, von der Malware befallen und möchte zur Analyse beitragen?
Gruß!
Tim
Timpov Ganz so einfach geht es dann aber auch nicht.
Als stark überspitzten Vergleich könnte man dann sagen, du hast dir einen Billigwagen gekauft und kein Premiummodell und deswegen musst du damit klarkommen, wenn bei einem crash der airbag mal nicht aufgeht, du könntest stattdessen das Auto auch stehen lassen und mit dem Bus fahren.
Ich weiß man kann übertreiben aber es dient der Veranschaulichung.
Das hingegen bei einem Premiumvertrag die Wartung und der Service ein anderer ist, das ist wieder ein anderer Schuh.
Ich bin mit meinem Qnap sehr zufrieden, mit der Arbeit vom Support und mit der Mitteilungsfreude des Konzerns aber durchaus nicht immer.
Kritik dient nicht der Selbstschmeichelung, sondern soll Qualität erhalten und Verbessrungspotenzial aufzeigen. POsitiv stärkt es natürlich die Moral, deswegen sollte man nicht nur reinkacheln
Ganz so einfach geht es dann aber auch nicht.
Friedemann, nimm's mir bitte nicht übel: in eine Diskussion möchte und werde ich hier nicht erneut einsteigen.
Gruß!
Tim
Timpov: Ja natürlich? Aber wie soll dies aussehen? Ich schicke das Nas nicht irgendwohin und gewähre keinen Zugriff. Aber mit gezielten Fragen helfe ich auch mit gezielten Antworten, auch per Mail. Das ganze aber nur solange das meine Kenntnisse zulassen und solange ich das Nas noch nicht zurückgesetzt hab.
