ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Storage

Sicherheitslücken in Qnap-NAS-Systemen

Michael Schäfer
25 Kommentare

Qnap hat zurzeit mit gravierenden Sicherheitslücken in seinen NAS- und anderen Systemen zu kämpfen. Durch diese können Angreifer im Fernzugriff potenziell beliebige Anweisungen als Administrator ausführen. Hiervon soll eine Vielzahl der Speicher- als auch der Videoüberwachungssysteme des Herstellers betroffen sein.

So soll eine schwerwiegende Lücke im Web-Server der VioStor- und NAS-Geräte zu finden sein. Der Dienst stellt eine Reihe von Dienstprogrammen bereit, welche im Verzeichnis cgi-bin/ zu finden sind. Zur Sicherheit wurde dieses Verzeichnis mit einem Zugriffsschutz versehen, bei welchem der Benutzername und das dazugehörige Passwort abgefragt werden.

Wie jetzt Tim Herres und David Elze aus dem Offensive-Security-Team der Daimler TSS heraus fanden, schaltet bereits eine Gastkennung den Zugang frei, welcher sich auch über das Benutzer-Interface nicht wieder deaktivieren lässt. Über das dabei erreichbare CGI-Programm create_user.cgi lässt sich über ein Cross Site Request Forgery (CSRF) und durch Eingabe der richtigen Parameter ein neuer Account mit Administrator-Rechten anlegen. Über pingping.cgi können zudem sogar Shell-Befehle mit Root-Rechten ausgeführt werden.

Laut Informationen der Daimler-TSS-Tester sind vor allem Qnap VioStor Netzwerk-Videorekorder bis zur Firmware-Version 4.0.3 betroffen. Dies ist besonders dahin gehend als kritisch anzusehen, da diese Überwachungssysteme vielerorts bei Polizei, Militär oder in geschäftlichen Bereichen wie Banken Verwendung finden. Qnaps NAS-Systeme sind ebenfalls betroffen, wenn auf diesen die Surveillance Station Pro installiert ist.

Das Computer Emergency Response Team (CERT), eine Gruppe von IT-Sicherheitsfachleuten, welche unter anderem Warnungen bezüglich Sicherheitslücken in Computersystemen ausruft, stuft die genannten Sicherheitslücken CVE-2013-0141, CVE-2013-0142 und CVE-2013-0143 in seine höchste Gefahrenstufe CVSS 10 ein. Laut eigenen Informationen arbeitet Qnap bereits an einer Problemlösung und will in nächster Zeit weitere Information folgen lassen.

CB-Funk Podcast: 25 Jahre ComputerBase: Wie alles begann! mit Jan-Frederik, Frank und Steffen

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz