Qnap-NAS werden mit Zero Day angegriffen

    Zitat von FSC830

    Bei mir sieht das so aus:

    Hmm... da hätte ich auch eine aktualisierte Datei von heute erwartet, wie es bei mir der Fall ist (habe den MR auch nicht angefasst, der rödelt so rum wie immer).

    Zitat von FSC830

    Andere Frage: wie hast Du es geschafft, den .qpkg Ordner (bzw. generell versteckte Odrner) in der File Station sichtbar zu machen?

    Einfach eine Freigabe auf dem Systemvolume anlegen und dann den Pfad manuell angeben. Da kann man dann noch ganz viele andere Systemdaten mounten.

    Vorsicht, man kann viel kaputtmachen, aber das brauche ich Dir ja nicht erzählen (nur so für die Allgemeinheit als "Arschandiewandpapier") ;)

    Weil der auch nix nutzt, wenn man auf dem falschen NAS nachsieht :D.


    Im Ernst: ich habe nichts gegen SSH und nutze die Filestation fast gar nicht. Das war jetzt einfach der Situation und der Neugier geschuldet. ;)


    Gruss

    Ich habe auch nichts dagegen aber um mal schnell zu schauen oder was zu machen sehr praktisch, aber hilft nicht gegen das falsche NAS das stimmt :)

    Zitat von tiermutter

    /.qpkg/MalwareRemover/modules. Anbei ein Ausschnitt aus der Filestation, siehe Ändeurngsdatum (Update erfolgt bei mir um 0300):

    Also nach dem Datums können auch mal Wochen dazwischen liegen, dass es eine neue Definition gibt.


    Ich behaupt mal, wenn die NAS nicht ins Netz kann und bei einem Firmwareupdate der Malwareremover auf eine neue Version installiert wird, dass man dann schon sicherer ist, als wenn man nur wegen dem MR die NAS ins Internet lässt.

    Der letzten These bin auch ich geneigt zuzustimmen!

    Auch aus einem weiteren Grund: Wenn es QNAP möglich ist, ein Update zu erzwingen, obwohl die Option deaktiviert ist, dann kann auch QNAP (oder ein mißgelaunter Mitarbeiter) Code ausführen oder hat eine Backdoor eingebaut, die es nun dafür benutzt.

    Und das ist in meinen Augen ein echtes Sicherheitsrisiko, vom Unterbrechen der Services mal ganz abgesehen.

    Damit ist QNAP aber für einen Einsatz im beruflichen Umfeld zu 100% ausgeschieden, jedenfalls, was mich angeht.


    Wie heißt es so schön: "Gut gemeint ist die kleine Schwester von Sch...e gemacht!"


    Gruss

    Mal für mich zusammengefasst:

    Was spricht dagegen das NAS ins Internet zu lassen?

    1) ganz klar Updatezwang

    2) eventuelle Backdoors

    3) ???


    Gut, dann nehmen wir dem NAS das Internet weg und es kann nur noch aus dem eigenen LAN angegriffen werden, Updates / Appinstall nur manuell, kein Problem.

    Und wie wird das bewerkstelligt? Etwaige VM brauchen ja weiterhin Internetzugriff, also wird die IP des NAS zum WAN geblockt, womit ich meinen Twonky lahmlegen würde (Lynx Lizenz), also muss ich den Zugriff aif die Lynx Server wenigstens gewähren, kein Problem. Solange sich eine eventuelle Backdoor nicht einfach eine weitere IP vom DHCP holt mit der das NAS dann doch wieder ins Internet kommt ist man vor Nr. 1 und 2 sicher. Welches Restrisiko bleibt mit Nr. 3 und evtl weiteren Punkten? Was gäbe es noch zu beachten?

    Also Ihr tool zeigt bei mir nichts an

    firefox_2022-01-28_15-16-06.jpg

    Wie erwähnt ich bin ziemlich sicher das es über eine alte Version von qvpn war.

    Stell ich nun auch ab und mache wireguard über eine Linux vm. passt Revers proxy läuft auch darüber.

    Na ja, der Updatezwang war hoffentlich eher die Ausnahme und wird nicht zur Regel X/.

    Aber allein die Möglichkeit, das es einen wie auch immer gearteten Trigger gibt, der so etwas bewirkt, würde mich im kommerziellen Umfeld auf das heftigste vom Einsatz eines derartigen Storagesystems absehen lassen.


    Welche Auswirkungen hätte das noch?

    Man muss regelmäßig im QNAP Downloadbereich nach neueren FW-/App Versionen nachsehen.

    Was bedeutet es für Backups nach extern? Für den VPN Tunnel muss man eine Route eintragen, aber andere Netze sind nicht erreichbar.

    Im Grunde genommen würde das m.E. heißen alle Dienste, die Internet brauchen, vom NAS wegzunehmen!

    jedenfalls dann, wenn man so sicher wie möglich sein will, was QNAP angeht.

    Andere Dienste haben andere Schwachstellen :S.


    Gruss

    Zitat von FSC830

    Wenn es QNAP möglich ist, ein Update zu erzwingen, obwohl die Option deaktiviert ist,

    Ist das denn sicher ? Denn zumindest macht man sich dann auf jeden Fall Schadenersatzpflichtig, wenn beim Update die Firma brachliegt und die Option definitiv aus war. Zum Beispiel. Beweisen ist natürlich eine andere Sache. Ich weiß nur, das mit irgendeinem Update das aufeinmal per Default an war und ich damit nicht gerechnet hatte. Weswegen dann irgendwann einmal ohne mein Wissen die FW geupdatet wurde.

    Es gibt jetzt mehrere Anwender, die Stein und Bein schwören, das die Option deaktiviert war, das Update aber dennoch erfolgte.

    Einen Rest Zweifel habe ich zwar noch, aber daß sich alle irren ist auch ziemlich unwahrscheinlich.


    Gruss

    ... Gibt aber keine Erklärung warum manche NAS (hatte schon irgendwo erwähnt welche beiden NAS von mir in Frage kämen) kein Update aufgezwungen bekommen haben...


    Wäre ultrageil wenn QNAP mal das Maul aufmachen würde.

    Zitat von FSC830

    Was bedeutet es für Backups nach extern? Für den VPN Tunnel muss man eine Route eintragen, aber andere Netze sind nicht erreichbar.

    Ich lasse über die Ubuntu Linux Station die Kiste per VPN ins Netz (nur Ubuntu kein QTS), theoretisch kannst du darüber auch dein Backup laufen lassen. Habe diesen auch als Proxy eingerichtet und das ganze Hausnetz kann wenn gewollt über den Proxy VPN ins Netz.

    Darüber wird hier (oder war es doch ein anderer Thread?) doch grad fleißig diskutiert... Und darüber wie man sich vor QNAP selbst schützen kann :|


    Scheint jedenfalls bei einigen so gelaufen zu sein... Warum es nicht bei jedem so war ist noch ein großes Rätsel...

    Zitat von FSC830

    Wenn es QNAP möglich ist, ein Update zu erzwingen, obwohl die Option deaktiviert ist, dann kann auch QNAP (oder ein mißgelaunter Mitarbeiter) Code ausführen oder hat eine Backdoor eingebaut, die es nun dafür benutzt.

    Und das ist in meinen Augen ein echtes Sicherheitsrisiko,

    Der Malware-Remover kann wohl schon länger von Qnap vorgegebenen Code ausführen. Er muss es wohl auch können, um seiner Aufgabe nachzukommen. Qnap hat den Malware-Remover auch schon mal benutzt, um qts-Code mit einer Backdoor zu entfernen, auch von Systemen, die keine Updates wollten. Im Prinzip also nicht schlecht.


    Ich halte es für möglich, dass der Malware-Remover das automatische Update erzwungen hat.


    Wer da Befürchtungen hat, muss den Malware-Remover deaktivieren. Fragt sich aber, ob der MR nicht doch das geringere Übel ist.

    Zitat von Anthracite

    Wer da Befürchtungen hat, muss den Malware-Remover deaktivieren. Fragt sich aber, ob der MR nicht doch das geringere Übel ist.

    Es wäre einfach gut wenn irgendwo dokumentiert wäre, was geht und was nicht. Ein Virenscanner hat naturgemäß eine sehr tiefe Integration, zumindest unter Windows. Was der MR macht weiß man ja nicht. Aber nicht umsonst sind ja unter Windows die Drittanbieter Scanner Angriffsziel geworden eben wegen ihrer tiefen Integration. Zumindest sollte der Nutzer wissen, wenn sein Gerät ungefragt gepatcht werden soll, selbst mit redlicher Absicht. Der MR ist halt praktisch ja nie wirklich sichtbar, und die Logs sind auch nicht sonderlich aussagekräftig.

    Malware Remover wird von QNAP absichtlich als "schwarze Box" definiert. Jegliche RE Versuche wurden von QNAP zensiert. (Englisches Forum)

    In dem Fall muss ich meine Ansicht revidieren, dann ist das doch ein Vertrauensbruch!

    Wenn der Hersteller ungefragt und vor allem auch undokumentiert so etwas wie eine Backdoor einbaut, dann ist das definitiv nicht mehr hinnehmbar.

    So etwas sollte sich mal einer der großen Hersteller leisten.

    Der käme bei keiner Ausschreibung auch nur mit dem Fuß durch die Tür!


    Das in den RZ die Geräte meist sowieso keinen Zugriff auf das Internet haben, sei mal dahingestellt, allein die Möglichkeit wäre ein Ausschlußkriterium!


    Gruss