Security Advisory - Sicherheitshinweis - Derek be gone

Zwischenstand Malware


Am 14.09.20218 hat QNAP diesen Sicherheitshinweis heraus gebracht CVE-2018-0718 am selben Tag haben wir dazu eine NEWS veröffentlicht Security Advisory for Command Injection Vulnerability in Music Station. All diejenigen die diesen Sicherheitspatch mittels veröffentlichter Firmware nicht eingespielt haben und bis dato den Malware Remover nicht eingesetzt haben, konnten nun Opfer der aktuell bekannt gewordenen Malware werden!

Dazu haben wir am Mittwoch den 13.02.2019 in dieser News Security Advisory for Malware on QTS den am selben Tag veröffentlichten Sicherheitshinweis von QNAP bekannt gegeben.


Hinweis: Es ist nachvollziehbar, dass derartige Malware nach Befall von wenigen Systemen nicht sofort aktiv wird. So erklärt sich auch der durchaus lange "Schlummermodus". Die Malware erst nach Befall einer größeren Menge an NAS Systemen aktiviert.


Soviel zur Vorgeschichte. Was also tun?


Wie bekomme ich heraus, ob ich betroffen bin?

Mit dem Befehl cat /etc/hosts lässt sich der Inhalt der hosts Datei prüfen. Sofern hier unbekannte Einträge vorhanden sind, ist ein Befall definitiv gegeben! Sollte die Malware auf deinem System noch nicht aktiv geworden sein, ist dies kein Indikator nicht befallen zu sein.


Du bist betroffen?

Sofern du betroffen bist, ist der sicherste Weg, dass NAS System komplett neu auf zu setzen. Die Malware ließe sich auch mittels folgendem Codes unschädlich machen, komplett entfernt werden kann diese dadurch jedoch nicht!


curl https://download.qnap.com/Storage/tsd/utility/derek-be-gone.sh | sh Diese genannten Code gibt man nach erfolgreichen Login auf der Konsole ein, was im folgenden Video demonstriert wird.


Anschließend unbedingt die aktuellste Firmware aufspielen und den Malware Remover installieren. Letzterer wird in diesem Artikel erläutert Zugriffsschutz für QNAP Beginner


Externer Inhalt www.youtube.com
Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.


Du bist nicht betroffen?

Auch dann gilt, Firmware auf dem aktuellen Stand halten und den Malware Remover installieren!

Über den Autor

Leidenschaftlicher technikbegeisterter NAS Nutzer und Gründer des deutschen QNAPclub Forums seit 2008.

christian Administrator

Kommentare 18

  • Was ist oben gemeint mit "Sofern du betroffen bist, ist der sicherste Weg, dass NAS System komplett neu auf zu setzen."

    Was heißt komplett?

    Ist damit gemeint im control panel -> backup /restore -> auf reinitialize NAS zu drücken oder muss da noch mehr gemacht werden?


    weiteres wenn ich derek-go-home.sh ausführe bekomme ich die meldung

    https://download.qnap.com/Storage/tsd/utility/derek_be_gone_x86_64

    2019-04-26 16:46:02 ERROR 404: Not Found.

  • Meine hosts-Datei war zwar sauber trotzdem hat das Script diverse Dateien desinfiziert. Allerdings meldet mir der Malware Remover täglich, dass das AppCenter wieder mal bereinigt bzw. wiederhergestellt wurde. Das Problem, dass Firmware-Updates oder Virenscanner-Updates nicht geprüft werden können ist zwar weg, vereinzelt schlägt es trotzdem immer wieder fehl.

    Passiert also noch was?

  • Kommt da noch was oder bleiben die bei Ihrer Aussage bezüglich Music Station?

  • Bin zwar nicht betroffen, aber das ist mir dann doch auch zu heikel geworden mit QNAP und Erreichbarkeit vom Internet aus. Ich schließe mich da der Kritik der anderen an, hört sich alles sehr wenig zufriedenstellend an. Zumal QNAP eben auch kein vollständiges Systembackup erlaubt und somit man wirklich wieder bei 0 anfangen muss, wobei selbst da, mit dem DOM so eine Unsicherheit bleibt.


    Meine NAS ist jetzt aus dem Internet raus und somit wieder eine echte NAS mit erweiterten Funktionen (Backup, Sync, Medienstation) ohne von außen erreichbar sein zu müssen.

    Die Server Funktionalität ist nun durch einen vServer bei einem Hoster erledigt, Nextcloud + Kopano + verschlüsseltes Cloud Backup. Funktioniert jetzt sowieso noch besser, schneller, zuverlässiger, umfangreicher. Aber Aufwendig in der Einarbeit.

  • Hallo,


    ich bin leider auch betroffen und von QNAP doch etwas enttäuscht. Musicstation habe ich nicht drauf. Das der Angriff von dort kommt ist also unwahrscheinlich. Nach den Foreneinträgen zu urteilen bietet das Neuaufsetzten ja auch nur begrenzten Schutz, da Re-infekte beschrieben werden. Manuell den Malware Scanner laufen lassen, bringt nichts (immerhin hat QNAP ihn für 4.36 wieder ins app center gestellt), da es nichts findet. Hat jemand bereits erfolgreich die Malware entfernt? Solange der Infektionsweg nicht klar ist (wie gesagt keine Musicstation) scheinen diese ganzen Maßnahmen nicht sinnvoll. Ich bin kein Experte und möchte nicht soviel Zeit mit der Pflege (jaja ich weiß muß man aber) verbringen...

  • Verstehe ich das richtig, das QNAP den Angriffsvektor kennt aber weiterhin seine Nutzer im Unklaren lässt indem es kein Update der security advisory gibt?


    Ich verstehe den Hinweis nicht mit dem Schlaf Modus. Wurde die Lücke schon seit 2018 aktiv ausgenutzt?

    • Schlummermodus ist meine Wortwahl und sagt nicht anderes aus, als das die Programmier von Schadcode selbigen erst dann aktivieren, wenn eine ausreichend große Zahl an befallenen System existiert. Es schreibt niemand Schadcode um nur 5 Systeme zu infizieren!

    • Ja das habe ich schon verstanden. Aber was heißt das in diesem Fall? Wurden die Geräte schon vor Januar 2019 befallen und es fällt jetzt erst auf? Oder befindet sich Derek noch im Schlafmodus und hat bisher noch keinen Schaden angerichtet?

    • So wie ich das verstanden habe, war diese Malware schon vorher drauf und wurde erst jetzt aktiv. Der MR kann erst ab 3.4.1 die Malware isolieren.

    • Der MR kann erst ab 3.4.1 die Malware isolieren.

      Woher stammt diese Information? In der Security advisory steht nur das man aktualisieren soll auf 3.4.1 nicht, dass MR auch die Malware entfernt. Ich komme gerade nicht auf die Qnap homepage.

    • Von QNAP.

  • Hmm, einiges bleibt aber doch (für mich zumindest) im unklaren:

    1.) Es betrifft ja offensichtlich nur die MusicStation. Die wird ja separat über das Appcenter aktualisiert. Das Firmwareupdate hat ja dann nur insofern auswirkungen, als dass ggf. die gepatchte Musicstation nicht für altere QTS Versionen zur Verfügung steht.

    2.) Zum Befall muss scheinbar Zugriff auf das Webinterface der Musicstation bestehen. So klar wird das nier nicht formuliert, aber einen Befall aus dem internen Netz heraus scheint zumindest eher unwahrscheinlich zu sein.


    Diese Fragen sollten doch zu beantworten sein, meine ich.

    • zu 1) ich kann dir nicht beantworten, in wieweit die Music Station mit in QTS integrierten Funktionen verknüpft ist.


      zu 2) Entweder das oder der Webserver spielt in Kombination mit der Music Station eine Rolle. Das wären aber alles Vermutungen die ich nicht untermauer kann!


      Für mich ist eher die Message wichtig: Updates einspielen aber bei der Anzahl an Klicks auf diesen Artikel trotz Verlinkung in den Sozialen Medien und im Forum, zeigt sich doch ganz deutlich wie weit es beim Gros der Benutzer um das Interesse zum Thema Sicherheit gestellt ist. Leider!

    • @nasferatu


      Ich bezweifel ganz stark, dass es nur die Music-Station betrifft. Ein User oben schreibt, dass er betroffen ist ohne Music-Station. Ich bin/war(?) betroffen obwohl ich die Sicherheitspatches betreffend Music-Station eingespielt hatte. Ich habe sogar das System neu aufgesetzt damals. Entweder ist das eine Schutzbehauptung oder sie wissen es tatsächlich nicht besser. Oder die Malware ist tiefer im System drinnen als einem lieb ist.

    • Den Zweifel habe ich auch! Bei der NAS die ich hier betreibe lief noch nie die Music-Station darauf und die Malware wurde im DOM gefunden. Zum Glück war sie noch im Schlummer Modus. Damit kein Missverständnis oder Fragen aufkommen, NEIN! Die NAS läuft nur im internen LAN, keine Ports sind nach WAN aus geöffnet. Nachdem ich nun das Skript ausgeführt habe ist das DOM bereinigt, vorher kam die Meldung: Malware was found and cleaned


      Danach heißt es nun:

      Cleaning DOM

      No malware was found

  • Vielleicht schafft es Qnap den Malware Remover, mit der nächsten Firmware, als festen Bestandteil zu integrieren.

    • Fordere ich schon länger!

  • Vielen Dank für die aktuelle Berichterstattung!

    Weiter so!