to nap=schlummern
QNAP ist vor allem bekannt als Anbieter von NAS (Network Attached Storage) Lösungen, also Festplatten, die in Ihrem Heimnetz installiert sind und auf die Sie alle Daten speichern können. Diese sind dann von jedem Gerät im Netz nutzbar. Nett.
Alles deutet darauf hin, dass QNAP ein für Kunden schlechtes Unternehmen ist, das schlechte – d. h. unsichere – Produkte herstellt. Dennoch ist QNAP die Nummer 1 unter den chinesischen Anbietern von NAS-Geräten und hält nach einigen Angaben einen Anteil von 69 % am weltweiten NAS-Markt. Wenn also etwas wirklich Gravierendes passiert und passiert und immer wieder passiert, müssen wir darüber sprechen.
Es gibt wohl wenige Dinge, die wichtiger sind als die Sicherheit von Daten. Oftmals verwenden Nutzer NAS um wichtige, oftmals auch sensible Daten, vertraulich zu speichern. Steuerunterlagen, Arztunterlagen, Verischerungsscheine, was auch immer.
Da die Daten auf dem NAS für viele auch aus dem Internet zugreifbar sein sollen, bieten NAS Geräte eine schöne Brücke zwischen Internet und Heimnetzwerk. D.h. wenn jemand aus dem Internet auf Ihr NAS kommt, dann kommt er auch weiter in Ihr Heimnetz. Oder kann das NAS auslesen oder für andere Attacken ins Internet nutzen. NAS sind Computer, mit Betriebssystem, mit Netzwerk, mit allem. Umso wichtiger ist es, es zu schützen. Und was Sie gar nicht gebrauchen können: Eine Sicherheitsschwachstelle die das Unternehmen einfach ignoriert. Was kann schlimmer sein? Zwei Sicherheitslücken, die das Unternehmen einfach nicht beheben will, nichtmal, wenn die Sicherheitsforscher sogar sagen, wie es ginge.
Was ist passiert?
Die Sicherheitsforscher von SAM Seamless Networks veröffentlichten am vergangenen Mittwoch einen Bericht, der einige Schwachstellen im NAS von QNAP beschreibt. Auf diesen Informationen sassen sie schon seit Monaten. In der Sicherheitsbranche gilt die Ehrenregel: Wenn wir etwas finden, sagen wir dem Hersteller Bescheid. Wenn der das Sicherheitsproblem behoben hat, dann machen wir es bekannt. Nicht alle Firmen finden das toll, wenn sie darüber informiert werden, dass sie ein Problem haben. Es gibt einen Zeitrahmen, meist drei Monate, in dem die Forscher schweigen. Danach wird oftmals die Lücke veröffentlicht oder mit dem Unternehmen besprochen, wie es weiter geht.
So nicht QNAP.
SAM’s Bericht trägt den Titel: „Neue Schwachstellen erlauben die komplette Übernahme eines Gerätes“. Viel deutlicher können Forscher nicht werden.
In den „Technischen Details“ wird das Szenario kurz dargestellt.
Schwachstelle Nr. 1 – RCE (Remote Code Execution)-Schwachstelle: Betrifft jedes QNAP-Gerät, das dem Internet ausgesetzt ist. Diese Schwachstelle befindet sich im NAS-Webserver. Frühere RCE-Angriffe auf QNAP-NAS-Modelle basierten auf Webseiten, die keine vorherige Authentifizierung erfordern und Code auf der Serverseite ausführen/auslösen. … Wir waren in der Lage, ein spezielles Szenario zu erzeugen, das indirekt eine Remote-Code-Ausführung auslöst (d. h. ein bestimmtes Verhalten in anderen Prozessen).
Mehr wollten sie nicht sagen, damit Angreifer das nicht ausnutzen können und QNAP den Fehler endlich behebt. Und sie gaben sogar noch Ansätze, wie QNAP das Problem beheben kann. Sie wiesen leider daraufhin, dass QNAP das immer noch nicht getan hat.
Dann gaben die Forscher einen Zeitplan bekannt, was bisher geschah:
12. Oktober 2020 – Vollständige Offenlegung an das QNAP-Sicherheitsteam gemeldet.
23. Oktober 2020 – Weitere E-Mail an das QNAP-Sicherheitsteam gesendet.
31. Oktober 2020 – Automatische Antwort vom „QNAP-Support“ mit einer Ticketnummer.
26. Januar 2021 – Benachrichtigung an QNAP über das Ende der Schonfrist (die am 12. Februar enden sollte).
26. Januar 2021 – Antwort vom QNAP-Helpdesk: Das Problem ist bestätigt, aber noch in Bearbeitung.
12. Februar 2021 – Die Schonfrist war vorbei
31. März 2021 – Erster Blogbeitrag von SAM veröffentlicht.
Der zweite Fehler führte ebenso zur RCE und damit zu einem sehr hohen Risiko. Und wieder legte QNAP sich schlafen.
Jetzt weiss ich wenigstens woher der Name Q NAP kommt.
SCNR
Hoffentlich kann diese öffentliche Offenlegung endlich dazu beitragen, die längst überfällige Aufmerksamkeit von QNAP auf die Sicherheitsprobleme zu lenken. Eine umfassendere Offenlegung von SAM würde nichts Gutes bringen. Es würde Angreifer einladen, nach QNAP Servern im Netz zu suchen und diese gezielt anzugreifen.
BITTE: Nehmen Sie sich das zu Herzen, wenn Sie einen NAS-Anbieter auswählen. Oder noch besser: Wenn Sie irgendein IT Gerät kaufen. Es gibt andere Anbieter. Und wenn Sie bereits QNAP-Geräte haben, finden Sie eine Verwendung dafür innerhalb Ihres Heim-Netzwerks und entfernen Sie sie aus dem öffentlichen zugänglichen Internet.
Das empfehle ich Ihnen aber sowieso für alle NAS-Geräte.
Zum Beispiel könnten Sie das NAS in ein separates Netz hängen, auf das nur der Rechner oder andere Geräte Zugriff haben. Es gibt so viele Möglichkeiten, vielleicht schreibe ich darüber mal einen Artikel.