Artikel zur Sicherheit von QNAP Firmware (QuTS,QTS,QTSCloud)

    Grad bei Reddit gesehen

    QNAP QTS - QNAPping At The Wheel (CVE-2024-27130 and friends)
    Infosec is, at it’s heart, all about that data. Obtaining access to it (or disrupting access to it) is in every ransomware gang and APT group’s top-10…
    labs.watchtowr.com


    Hoffe dies schreckt ab irgendein QNAP System offen ins Web zu setzen (jaja ich weiss, die Leute die das machen lesen solche Artikel eh nicht)

    Zitat von dolbyman

    jaja ich weiss, die Leute die das machen lesen solche Artikel eh nicht)

    Verstehe ich nicht... Sollten nicht gerade die sowas lesen?

    Ich kann es mir erlauben es nicht zu lesen und mache es auch nicht, dafür kann ich jetzt weiter Musik hören 8)

    Gibt es auch eine kurze Zusammenfassung dazu? Wollte heute Abend auch noch was anderes machen. :)

    Ja zusammengefasst:


    Ne Menge Probleme von watchtower gefunden, und noch sind alle nicht behoben (ein Paar sind noch unter Embargo und werden dann später verraten).


    QNAP's QTS Codebase ist sehr alt und basiert auf C, ist deswegen relativ einfach zu zerlegen und es sind bestimmt noch viel mehr Lücken drin die nicht von Whitehats gemeldet werden.

    Unglaublich, mehr als vier Monate für die kritischsten Fälle die nicht nur gemeldet und dokumentiert wurden, sondern reproduzierbar sind. :ziped:


    Trotzdem (noch) keine Hotfixes oder Patches seitens QNAP, ausser einzelner CVE die mittels einfacher Massnahmen verbessert wurden.
    Aber Hauptsache es gibt ein paar lustige bunte Funktionen (Angriffsflächen) mehr in den jeweiligen Releases ...:/

    Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von Aliz Hammond: QNAP QTS - QNAPping At The Wheel (CVE-2024-27130 and friends)

    we’d found so many memory corruption bugs, we thought we’d see if we could find any more

    =O Naja C ist Hackers best choice, toll für ein "sicheres" Betriebssystem. Wäre gespannt wie es um QTS Hero steht :rolleyes:

    Wer sein NAS naiverweise einfach nach den Marketing Infos des Herstellers nutzt, wird viel Freude haben und "neue Freunde" kennen lernen X/

    Darum gilt schon lange und weiterhin: Ein NAS gehört nicht (ungeschützt) offen ins Internet. Und nein, QuFirewall ist kein adäquater Schutz.

    Achtung: Sarkasmus! :mcup:


    Und weil "man(n)/frau" unbegrenztes Vertrauen in die bunten Hersteller Werbe-Seiten/Flyer hat. Ist ja alles soooo einfach, Zugriff von überall, auch für Freunde und Bekannte.

    Eben aber leider auch für Unbekannte und Verbrecher - nein sowas aber auch... 8|


    Ein Schelm, wer Böses dabei denkt...



    Gruss