Ausgerechnet Malware Remover!?

  • Man ist ja einiges gewohnt, aber das ausgerechnet der MR zum Einfallsvektor wird...!?

    Erinnert mich an den Spruch vom Bock und Gärtner ||.


    Ein "bisserl" peinlich finde ich das schon!

    Da muss man sich über die vielen Angriffe auf QNAPs nicht wundern.


    Gruss

  • Es ist doch schon seit langem hinreichend bekannt das ein Virenschutz nicht nur Segen ist.

    In der Vergangenheit wurden schon oft Angriffe über diese gefahren und wenn erfolgreich, hast ein System komplett unter Kontrolle.

    Da diese mit Rootrechten arbeiten auch wirklich bis in den Kernel, besser geht es nicht.


    Daher sehe ich diese Kommentare, auf keinen Fall etwas ohne Virenschutzprogrammen mit dem Rechner anstellen auch kritisch.


    Wie sich hier gerade wieder zeigt, betrifft das jede Plattform.

  • QNAP NAS running Malware Remover 3.x are not affected.

    Wieso baut man so etwas nachträglich ein? :)


    Ich frage mich gerade, ob dies MR 3.x wirklich nicht betrifft oder ob sie keine Lust mehr haben den alten MR nochmals anzupassen. :/ Dachte MR 3.6.x und 4.6.x sind nicht so weit auseinander, zumindest wo beide neu herausgekommen sind.


    Lücken gibt es überall. Ganz toll finde ich es z.B. auch, wenn die Schadsoftware mit dem Update vom Hersteller geliefert wird (Supply-Chain-Attack).

  • Die Schwachstelle kann demnach ja nur an der Implementierung in "neuere" QTS liegen...

    Passiert halt. Immer. Überall.


    Mir macht viel mehr zu schaffen, dass es momentan ein Standard bei QNAP ist, Schwachstellen einzubauen. Hals über Kopf wird was Neues rausgehauen, Fehlfunktionen kennen wir bereits, nun nimmt es aber noch hässlichere Züge an :(

  • nun nimmt es aber noch hässlichere Züge an

    Für mich sind die aufscheinenden Lücken nur noch unter "vollkommenem Strukturversagen" zu verbuchen. Damit ist dieser Hersteller aus allen weiteren Planungen raus.

    Punkt!

  • Also wenn Du alle Hersteller mit Schwachstellen, Lücken und Bugs aus Deiner Planung herausnimmst, dann bleibt Dir eigentlich nur noch der Rechenschieber über. :)


    Gibt da Hersteller, die nerven mich bedeutend mehr als QNAP. Die Probleme von QNAP kann ich händeln. Aber ich versuch es von der positiven Seite zu sehen: Solange die Hersteller Fehler einbauen braucht es Updates. Solange es Updates gibt, braucht es auch jemanden der damit umgehen kann, gerade solange sie so gut funktionieren wie im Moment. Solange habe ich einen sicheren Job. :)

  • Ich gönne Dir den sicheren Arbeitsplatz von Herzen, darum geht es aber neben dem Händeln nicht.

    Es geht einfach darum, daß der Hersteller sämtliche Normalnutzer jeden Tag aufs Neue angsterfüllt auf Updates und Datenbestand schauen lässt und das dann als "Innovativ, Sicher und Gebrauchsfertig" verkaufen möchte. Das schätze ich als "geschätzter Kunde" überhaupt nicht, zumal der Hersteller offensichtlich die Klopper auch noch selbst einbaut oder aber seine ureigenste Materie umfänglich nicht im Griff hat. Genau So sieht es aber aktuell aus.

    Nicht jeder hier hat zum Frühstück Firewallconflakes, Netzwerksalat, Progammierwurst und Administratorenbutter zu Updatebrot und Datenbestandskaffe auf dem Tisch und freut sich täglich auf Spaß de Luxe mit QNAP.

    Qtimer ON, tick-tack ...

  • Das schätze ich als "geschätzter Kunde" überhaupt nicht, zumal der Hersteller offensichtlich die Klopper auch noch selbst einbaut oder aber seine ureigenste Materie umfänglich nicht im Griff hat. Genau So sieht es aber aktuell aus.


    Diese Erkenntnis hatte ich schon vor 3 Jahren.

  • Matselm

    Zum Einen gebe ich Dir recht. Wer will nicht Updates einspielen und gut. Vor allem da QNAP ja die Privat-Käufer / -Benutzer stark im Blickfeld hat. Aber wie so oft stimmt hier Versprechen und Wahrheit nicht überein. Aber wieso sollte es ausgerechnet bei QNAP anders sein? Ich sage da nur "Bis dass der Tod euch scheide". Würde da jeder sterben, wäre Corona das geringere Problem. ;) Gut ich kenne jetzt nur QNAP und Synology bei den NAS, aber wenn ich so im Syno-Forum lese, ist es da wohl auch nicht besser.


    Will heißen: Ohne entsprechendes Wissen und Arbeit lässt sich ein NAS eben auch heute noch nur begrenzt gut betreiben. Man kann es abschotten und einfach laufen lassen, ohne Updates und Änderungen. Da kannst Du Glück haben und das Teil läuft über 10 Jahre ohne Murren durch.

  • Was mich (neben der Tatsache, dass gerade Programme wie Malware Remover, die per Definition mit nicht vertrauenswürdigen Daten umgehen, eigentlich mit der entsprechenden Sorgfalt entwickelt werden sollten, sodass solche Lücken sich eben nicht einschleichen) am meisten bekümmert, ist die absolut unzureichende Information in dem Security Advisory. Angriffsvektor? Fehlanzeige. Was heißt "remote attacker"? Fehlanzeige. Da sind sogar die "Bürger-Cert-Warnmeldungen" des BSI informativer.

  • aber wenn ich so im Syno-Forum lese, ist es da wohl auch nicht besser.

    Reden wir hier schon über das gleiche Forum? Was ich dort überwiegend mitbekomme sind es großteils "nur" Layer8-Fehler.

  • :) Da hast Du sicher nicht ganz unrecht. Wobei ich das hier auch behaupten würde. Bei mir laufen ja beide Marken gut. Fehler haben beide, zuweilen an genau den selben Stellen - sage nur RAM-Erweiterung, AntiViren-Programm. So was wie den Malware Remover gibt es bei Syno schon gar nicht. Nicht dass es etwa für Syno keine Schadsoftware geben würde.


    Fehler in Programmen sind nie schön. Aber ich denke, die wird es auch noch in 20 Jahren geben, egal bei welchem Hersteller. Der Knackpunkt ist wohl eher der Umgang damit. Da liegt bei QNAP das Problem.

    Da sind sogar die "Bürger-Cert-Warnmeldungen" des BSI informativer.

    Jap. Wobei bei Sicherheitslücken immer die Frage ist, wo die Grenze ist. Zu viel sollte auch nicht an die Öffentlichkeit kommen, da die Lücke ansonsten zu einfach ausgenutzt werden könnte. Schließlich sind nicht alle so schnell mit dem Updaten, wenn überhaupt.

    Aussage eines Arbeitskollegen (nicht-IT): "Updates und Sicherheitssoftware verbraucht nur unnötig Performance. Also lasse ich es weg. Geht so besser." Ähm ja.

  • Ohne entsprechendes Wissen und Arbeit lässt sich ein NAS eben auch heute noch nur begrenzt gut betreiben.

    Ich würde das gern mal erweitern auf: Ohne entsprechendes Wissen und ständige Pflege lässt sich kein komplexes System dauerhaft stabil und/oder sicher betreiben.

  • So was wie den Malware Remover gibt es bei Syno schon gar nicht. Nicht dass es etwa für Syno keine Schadsoftware geben würde.

    Ich habe da immernoch dieses Thema (Sammelthread - Angreifer IP Adressen) im Hinterkopf.

    Der Großteil der IP's ist immernoch online. Ich denke mal Syno hat die User noch immer nicht informiert, dass es eine Malware gibt, die Brute-Force-Attacken auf QNAP-NAS loslässt.

  • Fehler haben beide


    Bestreitet auch keiner. Nur in den 3 Jahren bei Synology gab es noch kein Update von Hyper Backup

    wo meine Backup Task anschließend nicht mehr liefen oder es meine Backups gekillt hat.


    Ich denke mal Syno hat die User noch immer nicht informiert, dass es eine Malware gibt, die Brute-Force-Attacken auf QNAP-NAS loslässt.


    Vielleicht weil es nichts zu informieren gibt ? Vielleicht ist das eine Lücke die schon lange gestopft ist ?

    Die deutschen und die englischen Foren berichten nichts darüber, Vielleicht kommt da bald was. Keine Ahnung. Die Zeit wird es zeigen.

  • Will heißen: Ohne entsprechendes Wissen und Arbeit lässt sich ein NAS eben auch heute noch nur begrenzt gut betreiben.

    Dann soll QNAP das bitte auch so kommunizieren und seine Soft entsprechend anpassen, bzw die sich mitschleppenden (eigenen?) Hintertüren und Programmeigenmächtigkeiten rauswerfen.

    Kann ja bitteschön auch nicht sein, daß z.B. ein definitiv deaktivierter SC nach 3! Tagen eigenmächtig ins Netz will. Was will der da ohne meinen ausdrücklichen Befehl?

    Was versteckt sich noch im Code?


    Wenn QNAP dort und sonst den Überblick verloren hat, dann heißt es: Back to the roots, Ausmisten und Verschlanken.

  • Das traurige ist ja, dass sich die Situation nicht auf einen Hersteller beschränkt. Das ist ja offenbar zumindest ein Branchenproblem.

    Resultat ist, dass man sich offenbar immer öfter entscheiden darf, ob einem einer der Hersteller das System versaut oder möglicherweise irgendeine Malware - Pest oder Cholera sozusagen.

    Der einzige Grund dennoch den Tonnen an Patches und Updates der Hersteller zu folgen, ist die - hoffentlich berechtigte - Annahme, dass der Hersteller versuchen wird, die Situation zu verbessern.


    Allerdings - wie auch schon an anderer Stelle angemerkt - wäre es höchst begrüßenswert, wenn generell ein Umdenken einsetzen würde.

    Weg von wir s*heissen schiessen mal schnell, ganz agile, einen Haufen neue Funktionen raus und überlassen das überaus zeitaufwändige Testen unseren zahlenden Kunden bevor wir dann die Probleme, welche nicht den Kunden umgehängt werden können - äh - welche sich nicht unter den Teppich kehren lassen - irgendwie mit einem neuen Fix (4 Wochen später, ev. mit neuen Problemen?) ausbügeln - hin zu einem qualitätsbewussteren, vertrauenswürdigen Ansatz.

    Die Möglichkeit über das Internet zu jeder Zeit irgendwelche Fixes und Updates zur Verfügung stellen zu können hat sich da schon ziemlich zu einem Fluch entwickelt.


    Ich frage mich aber, wie viele tatsächlich eine monatlich zu aktualisierende eierlegende Wollmilchsau - letztendlich auf Kosten der Sicherheit und Zuverlässigkeit - wollen.

    Aus meiner Sicht lieber einfach und mit einer zuverlässigen Basisfunktionalität, als dieser Wahnsinn der da überall derzeit abgeht.

    Ich habe eigentlich nicht die Zeit - und ich will eigentlich auch nicht gezwungen werden - tagtäglich nachwassern zu müssen, ob es wieder irgendwelche Schwachstellen gibt, die - wenn man nicht seine Daten am Silbertablett verschenken will - dringend gefixt werden müssen.

    Das ist nicht mein Job und es zahlt mir auch keiner (so sehr ich die Stunden, die ich bis dato schon für die diversen Hersteller mit Testen und Dokumentieren verplempert aufgewendet habe, mittlerweile auch gerne dem Verursacherprinzip entsprechend weiterverrechnen würde - das wäre schon ein nettes Zubrot).


    Bei einem Auto diskutiert ja auch keiner drüber ob es jetzt legitim wäre monatlich die Bremsen selber warten zu müssen (und dafür vorher noch eine akademische Ausbildung im Fahrzeugbau, Stadtplanung und Meteorologie durchlaufen zu haben) um das Teil gefahrlos fahren zu dürfen bzw. können.

    Wenn die Bremsen wegen Designfehlern versagen, gibt's schnell Produkthaftungsklagen oder sonstige Konsequenzen.

    Eventuell wäre es hoch an der Zeit, dass so eine Haftung auch woanders greift - wobei ja leider auch die MAX offenbar wieder fliegt....:X


    Sollen Sie doch die ganzen lustigen Extras zu Extrakosten verkaufen - in App Käufe sozusagen - das schaffen ja andere auch.

    Damit könnte man dann die zusätzlichen Betreuungs- und Wartungskosten entsprechend den Kunden verrechnen, die diese Extras auch verlangen.

    Wäre interessant, wie viele Extras dann noch übrig blieben...


    Wünsche allseits noch einen schönen Tag und dass sich die Dinge zum Besseren wenden mögen...

    Einmal editiert, zuletzt von eyetap ()

  • Die Möglichkeit über das Internet zu jeder Zeit irgendwelche Fixes und Updates zur Verfügung stellen zu können hat sich da schon ziemlich zu einem Fluch entwickelt.

    Das ist inzwischen definitiv mehr Fluch als Segen. Müsste der Hersteller jedes mal CDs / DVDs - oder wer es lieber etwas moderner mag - USB-Sticks verschicken, dann hätte sich das Problem schon längst von selbst gelöst. Das könnte inzwischen kein Hersteller mehr erzahlen. Bei einer Software, welche in meiner Firma produktiv eingesetzt wird und zu unserer Kern-Software gehört, bringt der Hersteller so jeden 2. Tag ein Update heraus. Dabei handelt es sich hier wohl selten um Sicherheitsupdates. Hast Du ein Problem und musst dem Support anrufen ist die erste Frage immer: "Haben sie das aktuelle Update installiert?" Ja wie denn. Hast Du am Morgen ein Problem und kannst erst am Nachmittag anrufen, ist die Software ja schon wieder veraltet. Dazu kommt, dass diese Software auf dem Server läuft. Für das Update müssen aber alle User abgemeldet sein. Ja mach dies mal mitten im Tag. :cursing:

    Das ist ja offenbar zumindest ein Branchenproblem.

    Definitiv. Habe einige Kollegen und Bekannte die Programmierer / Entwickler sind. =O:)^^:evil: Alles klar? Nein, im Ernst. Klar lassen sie sich gerne zu neuen Funktionen überreden, mögen sich noch so strub und nutzlos sein - richtige Tech-Nerds eben (bitte keine falsche Vorstellung von bleichen Spaghetti-Typen mit Nickelbrillen, die Zeiten sind wohl eher vorbei, sind braun gebrannte Sportler mit Frau und Kinder) - aber da kommt mächtig Druck von Oben. Projektleitung hat keinen Plan und die Termine werden zuerst festgelegt und erst anschließend mit dem Team besprochen. Eben so wie in jeder anderen Branche auch. Nur hier funktioniert es eben so überhaupt nicht - nicht dass es anderswo besser funktionieren würde.

  • Ja mach dies mal mitten im Tag.

    Als Admin (BOFH) kein Problem:evil:

    Die Möglichkeit über das Internet zu jeder Zeit irgendwelche Fixes und Updates zur Verfügung stellen zu können hat sich da schon ziemlich zu einem Fluch entwickelt.

    Ohne das Netz, bräuchtest du aber auch nur alle x Jahre mal ein Update, weil dann bist wieder in den 90ern mit Insellösungen wohin du schaust.

    Da gibt es keine Angriffe von außen, weil es keine Vernetzung gibt.


    Wollen wir da wirklich wieder hin?


    Wir meckern hier zwar alle ganz viel, aber jeder nutzt das Internet, ja nicht mals mehr telefonieren geht ohne dieses.

    Es ist inzwischen der universelle Service über den sich alles abwickeln lässt.


    Und ich habe jedenfalls kein Bock mehr irgendwelche Nummer aus dem Katalog raus zu suchen, auf eine Postkarte zu schreiben und an den Versandhändler zu schicken, damit ich dann 1 Woche später ggf. mal ein Paket bekomme wo das Zeugs drin ist.


    Aktuell gibts aber wirklich einen Lauf, jetzt schaue ich mir erstmal FragAttacks an und schaue mal was ich alles patchen kann.


    Und dann ist das einfache Einspielen von neuer Firmware über das Inet wirklich praktisch...

  • jetzt schaue ich mir erstmal FragAttacks an und schaue mal was ich alles patchen kann.

    Schalte doch einfach das WLAN ab und entspann Dich 8o


    Aber eyetap und Mavalok2 haben ja Recht: Updates, gerne! Vor allem wenn sie der Sicherheit dienen. Nur sollen die dann auch bitte funktionieren und vor allem nicht noch mehr Sicherheitsrisiken aufwerfen!

    Ich hab in der Meisterschule (Elektro) gelernt:

    Funktion und Sicherheit haben die oberste Priorität. Gilt für mich auch bei Software.