Datei-Explorer File Station führt "böse" Befehle aus
- rednag
- Unerledigt
-
Aber irgendwie hat der Berichz einen Bart.
Die Firmware die als sicher gilt ist schon aus dem April. Oder hab ich mich da verpeilt ?
-
Code
CVE-2018-19943: If exploited, this cross-site scripting vulnerability could allow remote attackers to inject malicious code. CVE-2018-19949: If exploited, this command injection vulnerability could allow remote attackers to run arbitrary commands. CVE-2018-19953: If exploited, this cross-site scripting vulnerability could allow remote attackers to inject malicious code.Laut des Berichtes sollen diese drei CVE mit QTS 4.4.2.1270 build 20200410 adressiert werden.
Aktuell ist die 4.4.1320
Wobei, jetzt wo ich das geschrieben habe fällt mir der Widerspruch erst auf.
Aber QNAP spricht:
CodeRelease date: June 5, 2020 Security ID: QSA-20-01 -
Und für mein TS-228A gibt es einen Fix nur mit Update auf die ungeliebte QTS-Version 4.4.
Jetzt wäre halt gut etwas über den Angriffsvektor zu wissen.
-
Jetzt wäre halt gut etwas über den Angriffsvektor zu wissen.
hier ist ein writeup von nem exploit mit Details
https://medium.com/bugbountywr…the-internet-d55488d28a05
Und wie so oft .. NAS nicht dem Internet aussetzen (aber da wird man ja immer angemoppert wenn man das sagt)
-
Und wie so oft .. NAS nicht dem Internet aussetzen (aber da wird man ja immer angemoppert wenn man das sagt)
Ist doch klar:
Damit versaut man dem Benutzer eines der Kaufargumente die er gelesen hat.
Risiken oder gar Sicherheitslücken tauchen auf diesen Glanzseiten nicht auf und werden entsprechend nicht gelesen.
Und wer sich nicht ein stückweit damit auseinandersetzt könnte damit auch nichts anfangen...
-
Mod: Zitat ohne Quellenangabe ... korrigiert!
Die Zitat Funktion des Forums richtig nutzenAber jeder der sein NAS via WAN erreichen will, sollte schonmal über Portfreigaben,- weiterleitung gelesen haben. Von dem unsäglichen myQNAPcloud mal abgesehen. Und ich glaube es ist mittlerweile auch hinlänglich bekannt, daß jeder Port, bzw. der dahinterstehende Dienst ein gewisses Risiko ist.
Das mag man glauben, aber ganz ehrlich:
Als ich einst mit portfreigaben etc angefangen habe, habe ich mir da weder Gedanken drüber gemacht, noch irgendwo Hinweise zu den Risiken "nebenbei" gesehen. Deshalb ist es wichtig dass wenigstens in diesem Forum immer wieder mal der Finger gehoben wird. Ich selbst bin auch erst später und zufällig dahinter gekommen als alles lief, bis dahin war mein Auftrag aber ein anderer und das geht vielen die sich erstmals damit auseinandersetzen sicherlich auch so.
Mod: Zitat ohne Quellenangabe ... korrigiert!
Die Zitat Funktion des Forums richtig nutzenEs ist aber eine moralische Zwickmühle. Mit zu viel "Warnungen" will keiner mehr die Geräte kaufen, weil es keiner warten kann, bzw. die Risiken auch realistisch einzuschätzen.
Korrekt, und andere, ggf. erfahrene Benutzer oder ITler würde Abstand nehmen wenn derartige Warnungen nicht ausreichend vom Hersteller erfolgen.
-
hier ist ein writeup von nem exploit mit Details
Außer dass dieses writeup von PhotoStation redet, die Ausgangsmeldung aber von FileStation.
(Trotzdem: faszinierende Lektüre!)
Und wie so oft .. NAS nicht dem Internet aussetzen (aber da wird man ja immer angemoppert wenn man das sagt)
Ich wäre ja glücklich und zufrieden, wenn ich sicher wäre, dass das reicht.
(Mein NAS ist nicht aus dem Internet erreichbar. Ich weiß, warum.)
-
Außer dass dieses writeup von PhotoStation redet, die Ausgangsmeldung aber von FileStation.
(Trotzdem: faszinierende Lektüre!)
Sagte ja "ein" Exploit, nicht grade dieser (CVE Details wurden ja im Text genannt) aber so laufen halt Exploits ab
Ich wäre ja glücklich und zufrieden, wenn ich sicher wäre, dass das reicht.
(Mein NAS ist nicht aus dem Internet erreichbar. Ich weiß, warum.)
Also wenn man net grade böse Buben im eigenen Netzwerk schon hat oder z.B. der QNAP Firmware update Server kompromittiert wurde, dann ist man hinter nem NAT schon relativ sicher.
