Qnap-NAS werden mit Zero Day angegriffen

Ich kann dazu nur nochmal berichten:

Meine NAS sind bisnauf zwei Ausnahmen aif 4.5.3, hier ist ziemlich klar dass nichts passieren kann.

Ein NAS ist auf 4.5.4 und eins auf der aktuell vorletzten 5.0.0 (1870?).

Beide haben kein Zwangsupdate erhalten, bei dem 4.5.3 habe ich Autoupdate nach der Installation deaktiviert, seither kein Update mehr gemacht.

Bei dem 5.0.0 habe ich das Autoupdate ebenfalls nach der Installation deaktiviert, bin mir aber nicht 100% sicher ob ich die Einstellung bei nachfolgenden Updates überprüft oder gar angepasst habe.

Edit

Oops, wollte ich eigentlich im anderen Thread posten... Hole ich nach...

Noch eine Frage zu dem Update: Wenn ich dies freiwillig durchführe dann bin ich gegen „deadbolt“ definitiv sicher?! Oder weiß man noch immer nicht was die Lücke ist?!

Nach deadbolt kommt deadb0lt2,Qlocker3,usw

Also egal auf welcher Firmware man ist NIEMALS das NAS dem WAN aussetzen

Da auch NAS betroffen waren, die schon 5.0.0.1891 hatten, kann man zur Zeit nichts über den Vektor sagen.

Meiner Meinung nach war das Zwangsupdate eher eine Flucht-nach-vorn Aktion als eine echte Maßnahme gegen Deadbolt.

Gruss

Zitat von RubberDuck1983

Wie macht ihr das z. B. Mit der PhotoStation für Familienmitglieder, die nicht im gleichem Haus wohnen?

Dafür gibt es diverse Wege, ich nutze zwei davon:

Mit meinen Eltern und Geschwistern haben wir einen separaten, gemeinsamen T-Online-Account, der noch die 25 GB Speicherplatz hat. Man meldet sich an, legt Order an und lädt dort Bilder rein. Mail über neue Bilder an die Familie, die sich ihrerseits anmelden und die Bilder ansehen oder runterladen.

Für alte Studienkollegen packe ich Bilder von "Events", bei denen ich ich fotogradiert habe, je nach Anzahl in eine oder mehreren passwortgeschützte ZIP-Dateien auf meinen Webspace bei einem entsprechenden Provider, dort themenspezifische Ordnernamen und Dateinamen. Links samt PW per Mail rumschicken, ggf. Datum nennen, wann ich die Archive wieder lösche, fertig.

Von meinem NAS wissen die Studienkollegen nichts und auch von der (nicht bei mir wohnenden ) Familie nur der kleine IT-affine Teil, mit dem ich ab und zu über solche Themen quatsche.

Hier zuhause sichert mein IT-affines studierendes Kind seine eigenen PC und Notebook ab und zu aufs NAS, meine Frau weiß vom NAS, aber nutzt es in keiner Weise.

Zitat von Digedag64

Mit meinen Eltern und Geschwistern haben wir einen separaten, gemeinsamen T-Online-Account, der noch die 25 GB Speicherplatz hat.

oh mann manchmal dauert es Jahre und man bemerkt immer noch neue Sachen. Ich habe noch einen ur ur Uralt Account fast zu BTX Zeiten und habe gerade mal nachgeschaut was du geschrieben hast mit den 25GB und was entdecke ich da

pasted-from-clipboard.png

Zitat von FSC830

Was hat das jetzt mit einer ZeroDay Attacke zu tun?

Nichts.

Das ist halt wie Warten auf das Christkind. Wann liefert Qnap Informationen darüber, wie der Angriff erfolgt? Bis dahin muss man sich auf andere Weise die Zeit vertreiben.

Zitat von Heise Security

Der Verschlüsselungstrojaner Deadbolt ("Schließbolzen") nutzt eine seit zwei Tagen bekannte Sicherheitslücke im QNAP-Betriebssystem QTS aus.

Gefährdet sind alle aus dem Internet erreichbaren QNAP-Netzwerkspeicher, die noch nicht auf die neueste QTS-Version aktualisiert wurden.

dort steht mit der neusten Version ist man sicher und bekannte Sicherheitslücke, hab ich was verpasst ?

Die info ist wahrscheinlich von reddit gezogen, dort hat QNAPs einziger SocialMedia Vertreter gesagt das der Nagriff vermutlich dort her stammt ..ob das wirklich so ist? .. unklar

Qnap äußert sich offiziell zum Eindringen von Deadbolt:

Zitat von Security Advisory List

According to the investigation, the ransomware exploited the vulnerability reported in the security advisory QSA-21-57, which was published on January 13.

We already fixed the vulnerability in the following versions of QTS and QuTS hero in January:

• QTS 5.0.0.1891 build 20211221 and later
• QTS 4.5.4.1892 build 20211223 and later
• QuTS hero h5.0.0.1892 build 20211222 and later
• QuTS hero h4.5.4.1892 build 20211223 and later
• QuTScloud c5.0.0.1919 build 20220119 and later

Das heißt, mit der neuesten Version wäre man sicher.

Und das "Zwangsupdate" war sinnvoll. (Wobei es gereicht hätte, bei Version 4.5 auf Build 1892 zu gehen; der Wechsel zu 5.0 war nicht nötig.)

Ich habe das Gefühl, dass Qnap recht hat mit der Aussage, in der neuesten Version sei die Schwachstelle, die das Eindringen ermöglicht hat, behoben. Es kommen keine Berichte mehr über neue Infektionen. Wäre das Problem nicht behoben, müssten sich weiter Leute beschweren.

Schade ist, dass Qnap nicht schreibt, in welcher Komponente die Schwachstelle lag.

Zitat von Anthracite

Und das "Zwangsupdate" war sinnvoll. (Wobei es gereicht hätte, bei Version 4.5 auf Build 1892 zu gehen; der Wechsel zu 5.0 war nicht nötig.)

Da die hier scheinbar nicht differenzieren können, bei 4.5 dann auf 1892 und bei 5.x dann auf 1891, war das der einzige Weg wirklich alle anfälligen System sichern zu können.

Qnap hat in seiner Notiz noch ein Update vorgenommen, was konkret zu tun ist, wenn das NAS von Deadbolt getroffen wurde.

Besonders schön: der dick und fett sichtbare Schriftzug "Resolved"!

Das wird die Betroffenen aber freuen </ironie>, die erwarten, das QNAP einen Weg findet die Daten wieder zu entschlüsseln.

Gruss

Also die schreiben ja einfach man soll auf die neuste Firmware updateten. --> Hab ich und nix geholfen

Man soll den scanner starten der würde den Deadbolt entfernen --> hab ich scanner macht genau nix. Deatbolt ist immer noch drauf.

Hab jetzt einfach raid Platt gemacht und alles neu drauf gemacht. jedoch System ist halt immer noch mit deatbolt infiziert, da qnap einem ja nicht sagen kann im Ticket was man machen soll ausser Updaten und Scanner starten... Wahre Helden.

QfinderPro_2022-02-09_01-07-04.jpg

Ticket wurde auc asap dann von Support auf Solved gesetzt .

Also wenn einer seine Kunden vertreiben will kann man sich an Qnap echt ein Bsp nehmen.

Deswegen ja Gerät komplett von neu starten .. nicht nur das "RAID platt machen" alle Platten raus und extern bereinigen