News Synology und QNAP: Netatalk für Apple-Protokolle mit Sicherheitslücken

[Frank]

Sowohl die NAS-Systeme von Synology als auch QNAP sind von Sicherheitslücken betroffen, die durch Netatalk für die Unterstützung von Apple-Netzwerkprotokollen zustande kommen. Sowohl QNAP als auch Synology haben erste Updates bereitgestellt, um die Lücken möglichst schnell zu schließen.

Zur News: Synology und QNAP: Netatalk für Apple-Protokolle mit Sicherheitslücken

 

[H3llF15H]

Die ganzen Meldungen über Sicherheitslücken im NAS wollen echt nicht abreißen.

Gut ist, dass sie gefunden werden. Schlecht ist, dass es immer einen faden Beigeschmack hat.

 

[Iarn]

Generell sollte man auf einer NAS Protokolle, die man nicht nutzt, deaktivieren.

Das Problem ist, dass NAS oft so ziemlich alle Protokolle, auch veraltete, sprechen und die meisten Nutzer auch auf Verdacht alles aktivieren (oder die Voreinstellungen sind hinreichend dämlich).

 

[catch 22]

Asustor ist ebenfalls betroffen und bereits dran, sowohl das aktuelle ADM 4.0, wie auch das alte ADM 3.5

AS-2022-006: Netatalk​

2022-04-26

---

Severity	Status
Important	Ongoing

Statement​

The Netatalk development team disclosed multiple fixed vulnerabilities affecting earlier versions of the software on the latest release of Netatalk 3.1.13: CVE-2021-31439, CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022-23124, CVE-2022-23125 and CVE-2022-0194.

CVE-2021-31439 had been fixed on ADM 3.5.7 and ADM 4.0. Updates with Netatalk 3.1.13 will be released as soon as possible.

Affected Products​

Product	Severity	Fixed Release Availability
ADM 4.0	Important	Ongoing.
ADM 3.5	Important	Ongoing.

Detail​

• CVE-2021-31439
  • Severity: Important
  • This vulnerability allows network-adjacent attackers to execute arbitrary code on affected installations of Synology DiskStation Manager. Authentication is not required to exploit this vulnerability. The specific flaw exists within the processing of DSI structures in Netatalk. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a heap-based buffer. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-12326.
• CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022-23124, CVE-2022-23125, CVE-2022-0194
  • Severity: Important
  • ** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

Quelle: https://www.asustor.com/de/security/security_advisory_detail?id=7

 

[Creeping.Death]

Die ganzen Meldungen über Sicherheitslücken im NAS wollen echt nicht abreißen.

Gut ist, dass sie gefunden werden. Schlecht ist, dass es immer einen faden Beigeschmack hat.

Ein NAS ist nun mal eine eigenständige Hardware mit einem Betriebssystem (also quasi ein eigener PC). Natürlich gibt es da Sicherheitslücken.

 

[rysy]

Habe es gestern ohne Probleme über die Homepage (= *.pat) manuell eingespielt und läuft. Bei dieser Gelegenheit werden noch weitere Pakete aktualisiert d.h. nach dem Patchen nochmals auf weitere Updates kontrollieren.

Respekt auch für die schnelle Reaktion von Synology. Sonst sind sie doch etwas langsamer als bspw. QNAP.

 

[Cool Master]

AFP sollte generell deaktiviert sein. Seit Mavericks ist AFP eigentlich veraltet (deprecated) und im Legacy-Mode sprich es gibt keine Weiterentwicklung mehr und sollte für SMB ausgetauscht werden.

Respekt auch für die schnelle Reaktion von Synology. Sonst sind sie doch etwas langsamer als bspw. QNAP.

Was? Genau andersherum wird ein Schuh draus Es kommt einem nur so vor weil der Auto-Update seit einigen Jahren nicht überall gleichzeitig alles lädt und installiert aber idR ist Synology deutlich schneller als QNAP, vor allem wenn es um Sicherheitslücken geht.

 

[catch 22]

Die ganzen Meldungen über Sicherheitslücken im NAS wollen echt nicht abreißen.
...

Liegt halt auch daran, dass da ein Haufen fremde Sachen implementiert werden, um den Nutzern einen riesigen Blumenstrauß an Funktionen und Optionen zu bieten. Somit ist so ein NAS mit seinem eigenem OS und den ganzen Tools diverser Drittanbieter natürlich ein Schmelztiegel für solche Probleme. Bleibt leider nicht aus und man kann nur hoffen, dass der Anbieter des eigenen NAS solche Meldungen immer sehr ernst nimmt, schnell & erfolgreich angeht und für die Produkte auch sehr lange diesen entsprechenden Support anbietet. Schließlich kosten NAS Lösungen ja doch ein paar Cent mehr, als ein Selbstbau, bei dem man sich dann aber selber um die Sicherheit kümmern muss.

 

[Wattwanderer]

Die ganzen Meldungen über Sicherheitslücken im NAS wollen echt nicht abreißen.

Ist halt ein komplettes OS, so wie Windows oder Debian, Ubuntu.

Selbst Spezialisten mit einer einzigen Aufgabe wie Router sind ja nicht gefeit von Problemen.

Andererseits, AFP wird soweit ich weiss selbst von Apple nicht mehr genutzt und wie appletypisch war es außerhalb von Apple nie ein großes Ding.

Insofern halte ich das Risiko in diesem Fall für überschaubar. Mich wundert eher, dass man das immer noch unterstützt statt wie SMB1 abzusägen.

 

[0x8100]

Respekt auch für die schnelle Reaktion von Synology.

naja, die lücke in netatalk wurde bereits vor 5 wochen geschlossen (und man sollte annehmen, dass diese firmen über interne verteiler vorher wussten, dass da ein update kommt). dafür, dass man da im grunde nur einmal das image mit einer aktualisierten komponente neu bauen muss, hat das ziemlich lange gedauert.

 

[rysy]

Was? Genau andersherum wird ein Schuh draus Es kommt einem nur so vor weil der Auto-Update seit einigen Jahren nicht überall gleichzeitig alles lädt und installiert aber idR ist Synology deutlich schneller als QNAP, vor allem wenn es um Sicherheitslücken geht.

Ohne jetzt eine Diskussion anfangen zu wollen: Bei QNAP kommen öfters Meldungen zu Sicherheitslücken, die gepatched werden müssen und eigentlich auch auf Synology zutreffen müssten(!). Dort dauert es doch etwas länger, bis Updates bereitstehen. Ist aber nur meine Beobachtung.

 

[BrollyLSSJ]

Laut QNAP sind die Betriebssystemversionen QTS 5.0.x und neuer, 4.5.4 und neuer, 4.3.6 und neuer, 4.3.4 und neuer, 4.3.3 und neuer 4.2.6 und neuer sowie QuTS hero h5.0.x und neuer, QuTS hero h4.5.4 und neuer und QuTScloud c5.0.x von den Lücken betroffen.

Danke für die Info. Dann warte ich mal für ein Update von QTS 4.3.3 für meine EoL NAS.

AS-2022-006: Netatalk

@ComputerBase
Eventuell könntet Ihr den Artikel mit den Infos von catch 22 zu ASUSTor Geräten ergänzen.

 

[Cool Master]

dafür, dass man da im grunde nur einmal das image mit einer aktualisierten komponente neu bauen muss,

Ganz so einfach ist es nicht Da muss erst mal geschaut werden ob nach wie vor alles läuft oder ob es da zu Kollisionen mit anderen Programmen kommt. Je nach Team-Große sind da 5 Wochen durchaus gut.

und eigentlich auch auf Synology zutreffen müssten(!).

Warum das? Dir ist klar, dass DSM eine eigene Entwicklung von Synology ist und mit QNAP's OS nichts zu tun hat. Nur weil die zwei zum Teil die gleiche SW haben muss das nichts bedeuten. In der Regel liegt es ja nicht an der SW selbst sondern Abhängigkeiten und die können durchaus anders sein.

Hier mal eine Liste von Synology:

https://www.synology.com/de-de/security/advisory

und hier QNAP:

https://www.qnap.com/de-de/security-advisories

Sieht für mich relativ gleich aus

 

[random12345]

AFP wird doch eh nicht mehr weiter entwickelt. NFS oder SMB nutzen.

 

[devebero]

Dachte ich mir auch. Bei mir läuft nur noch SMB bei Synology.

 

[Dr. MaRV]

AFP ist wird bei Apple schon lange nicht mehr genutzt, das sollte permanent deaktiviert sein und könnte auch mal langsam komplett aus den NAS verschwinden. Man nutzt entweder SMB oder NFS für File- und iSCSI, FC für Blockservice.

 

[0x8100]

Ganz so einfach ist es nicht Da muss erst mal geschaut werden ob nach wie vor alles läuft oder ob es da zu Kollisionen mit anderen Programmen kommt. Je nach Team-Große sind da 5 Wochen durchaus gut.

naja, netatalk 3.1 gibt es jetzt seit ziemlich genau 8 jahren. die ganzen point-releases seit dem sind nur bugfix-releases, d.h. an der api hat sich nichts geändert und sollte somit auch keine auswirkungen auf andere bestandteile haben. zudem sollte man annehmen, dass die da seit langem automatisierte tests haben und sich da kein team hinsetzen muss, um das zu prüfen. wenn es lücken in einem netzwerkdienst gibt, die dem angreifer root-rechte ermöglichen, erwarte ich bei einem kommerziellen produkt eigentlich schon response-zeiten < 5 wochen.

 

[Frank]

Artikel-Update: Auch Asustor ist von den Lücken betroffen und verspricht schnellstmöglich Updates für den Asustor Data Master (ADM). Betroffen sind sowohl der ADM 3.5 als auch 4.0, ein Update gibt es bislang für keine der beiden Versionen.

Die Redaktion dankt catch 22 für den Hinweis.

 

[x.treme]

rsync, SMB3 und noch Synology Drive und Photo sind bei mir aktiviert.
Und das NAS natürlich hinter einem VPN.

Am Anfang habe ich auch wie wild jegliche Protokolle und Apps eingerichtet. Am Ende schafft man dafür nur ein riesen Scheunentor, insb. wenn dann mit root-Rechten Ransomware Zugriff auf das NAS bekommt. Da reicht es auch aus wenn irgendein veralte IoT-Gerät / WiFi-Steckdose / whatever im Netzwerk infiziert wurde

 

[amagichnich]

AFP sollte generell deaktiviert sein. Seit Mavericks ist AFP eigentlich veraltet (deprecated) und im Legacy-Mode sprich es gibt keine Weiterentwicklung mehr und sollte für SMB ausgetauscht werden.

Das ist schon richtig, aber:
1. Ältere Macs sprechen nur SMB1 oder AFP
2. Generell wirkt die SMB Implementierung auf Macs sehr gepfuscht (ist auch nix dokumentiert), da ist AFP einfach um vieles stabiler, insbesondere bei Time-machine, auto mapped shares und granularen ACLs

SMB auf Macs ergibt erst Sinn, wenn Apple nicht mehr auf seine eigene Implementierung setzt oder diese mal ernsthaft weiterentwickelt