'Oudere Nas-systemen van WD, Netgear, Seagate en Medion bevatten rce-lek'

Twee beveiligingsonderzoekers claimen dat ze in staat zijn om op afstand nas-systemen van Western Digital, Netgear, Seagate en Medion over te nemen. Er zijn nog geen patches voor de remote code execution-lekken die dit mogelijk maken.

Volgens de onderzoekers, Paulos Yibelo en Daniel Eshetu, gaat het om de My Book-systemen van WD, Netgear Stora, Seagate GoFlex Home en Medion LifeCloud. Ze vermelden niet of de kwetsbaarheden voorkomen in een bepaalde firmwareversie. In het geval van de laatste drie fabrikanten hebben de kwetsbaarheden te maken met lekken in de gebruikte Hipserv-software van het bedrijf Axentra. Die maken het mogelijk om op afstand code uit te voeren op een apparaat en het op die manier over te nemen. In alle gevallen is daarvoor alleen kennis van het ip-adres nodig, claimen de onderzoekers.

Hoewel het om vrij oude apparaten lijkt te gaan, zijn er volgens TechCrunch nog veel op internet aangesloten. Een Shodan-zoekopdracht zou wijzen op ruim 300.000 apparaten, terwijl een zoekopdracht in ZoomEye een aantal van 1,8 miljoen apparaten oplevert. Alleen Western Digital reageerde op vragen van de site, die de analyse van de onderzoekers voor publicatie kon inzien. Het bedrijf stelt dat het om apparaten gaat die in 2010 zijn geïntroduceerd en waarvoor ondersteuning in 2014 eindigde. Het advies van het bedrijf is om kwetsbare apparaten achter een firewall te plaatsen.

De onderzoekers raden getroffen gebruikers aan de apparaten niet langer met het internet verbonden te houden en ze alleen via het lokale netwerk benaderbaar te maken. Er zijn nog geen patches beschikbaar gesteld. Hoewel de onderzoekers tegen TechCrunch zeggen geen exploit voor de kwetsbaarheden te willen publiceren, is het vaak slechts een kwestie van tijd voordat lekken worden aangevallen. De door de onderzoekers gevonden kwetsbaarheden zijn aangeduid met CVE-2018-18471 en CVE-2018-18472.

Reacties (44)

Fastfreddy666 19 oktober 2018 19:35

Achter een firewall plaatsen. Goeie tip. Maar hoe bereik ik het ding dan vanaf het internet? Ik gebruik het ding namelijk als mijn privé cloud. Eeuhh... Ik ben namelijk van de oude stempel die huiverig is dat derden bij MIJN data kunnen. Als de cloud provider de infrastructuur niet op orde heeft... Vertrouwen is goed, zelf doen is beter. O ja en ik ben paranoia AF.

Ik heb een Synology uit 2012 en er worden nog steeds updates uitgebracht. Zoveel dat ik er wel eens gek van word. Paar dagen geleden nog DSM 6.2.1-23824-1 binnengehaald. Het advies is dan ook. koop een NAS van bedrijven die er in gespecialiseerd zijn zoals Synology, Q-nap, Thecus...
Ik snap het wel. Medion, WD en Seagate die doen het erbij... Maar Netgear moet zich schamen. Zij namen in 2007 Infrant (ReadyNAS) over en die hadden een zeer goeie naam. Ga dat nou niet lopen verzieken.

P.S. Sun bedacht in 1984 het Network File System (NFS). In de jaren tachtig en negentig noemden we die dingen file servers. Pas sinds het begin van deze eeuw zijn er embedded apparaten. Synology bracht zijn eerste NAS uit in 2003. Niet veel later gevolgd door Infrant, Thecus en Qnap....

KaasNL @Fastfreddy666 • 19 oktober 2018 19:41

Hoezo wordt je er gek van? Ik heb een 213j en heb gewoon auto update aanstaan, geloof maandag en donderdagnacht draait hij eventuele updates. Merk er niks van en ook nooit problemen gehad met slechte updates bij synology.

ASS-Ware @KaasNL • 20 oktober 2018 02:11

Hoezo wordt je er gek van? Ik heb een 213j en heb gewoon auto update aanstaan, geloof maandag en donderdagnacht draait hij eventuele updates. Merk er niks van en ook nooit problemen gehad met slechte updates bij synology.

Ik kan er over meepraten, ik word er ook gek van, hoewel ik me ook wel realiseer dat de updates soms noodzakelijk zijn.
Ik heb 3 Syno's staan thuis en benader ze via iSCSI. Om foutmeldingen te voorkomen moet ik de iSCSI initiator down brengen, NAS-sen updaten en de initiator weer aanzetten.
Kost tijd, is wat lastig.

pven @Fastfreddy666 • 19 oktober 2018 19:54

Mijn DS410 met DSM5 krijgt de kritische updates ook nog steeds. Synology doet dat erg goed.

Mbt dit artikel: die NAS'sen gaan nooit meer een update krijgen.

Waarnemer @Fastfreddy666 • 19 oktober 2018 20:41

firewall van je router... port forwarding aan... op slechts de poort die je nodig hebt. 80 / 443
voor de verouderde nassen... koop een raspberry (goedkoop) en installeer een lampstack, mount de nas als locale folder installeer NextCloud met de mounted folder als data folder.. hoera!
Of een UP board (duurder maar dan wel full Intel 64bit, dus mogelijkheden!!!) installeer webmin/virtualmin (mooie shared hosting setup voor alles waar je zin in hebt) en installeer daar NextCloud op (met Collabora Office (browserbased openoffice) en Videoconferencing...

Allebei slechts een fractie van een nieuwe NAS. Enige dat mijn NAS nog zelf doet is DLNA en zijn RAID config bijhouden... dat scheelt de minicomputer weer werk.

Zeker met die UP, maar die minicomputers zijn heel goed in staat om een beetje extra beveiliging te draaien... fail2ban, extra firewalls, clamav

[Reactie gewijzigd door Waarnemer op 23 juli 2024 04:25]

Qlimaxxx @Waarnemer • 20 oktober 2018 13:20

De genoemde nas devices waren juist gericht op de consument waarvoor een Synology of Qnap te uitgebreid was. Dat schrikt een leek af. Ik kan me niet voorstellen dat er veel mensen zijn die zo’n nas in gebruik hebben en zo maar even een raspberry installeren. Voor jou en mij gesneden koek. Voor het grote gros van de mensen abracadabra.

Edit:
Als je nog een budget nas van voor 2014 gebruikt is het wellicht toch een goed idee om te upgraden naar een recente nas van een serieus nas merk

[Reactie gewijzigd door Qlimaxxx op 23 juli 2024 04:25]

Waarnemer @Qlimaxxx • 20 oktober 2018 21:10

Om een gemiddelde NAS (ook die van nu) een beetje met verstand te kunnen gebruiken heb je toch al vaak meer kennis nodig. Als je een nas met dubbele (of meer schijven hebt, komt al gauw de vraagl RAID x... heb je meer dan 1 UTP poort, komt IP sharing...

Als je daaruit bent, en je kan er ook nog mee omgaan, is het maar een minimale stap.... die mensen die deze kennis hebben, lukt het ook een rPi met Nextcloud te installeren.

StGermain @Fastfreddy666 • 19 oktober 2018 21:20

Hier ook een ds212j die nog voortdurend updates krijgt. Mijn volgende NAS zal dus met zekerheid ook weer een Synology worden, ook al omdat toen ik een keer een probleem had met configureren hun helpdesk uitstekende service geboden heeft.

sander_vk @Fastfreddy666 • 20 oktober 2018 13:39

Via een VPN? Of via een secure cloudsharing device die lokaal via samba toegang heeft

Anoniem: 368883 @Fastfreddy666 • 20 oktober 2018 14:06

Achter een firewall plaatsen. Goeie tip. Maar hoe bereik ik het ding dan vanaf het internet? Ik gebruik het ding namelijk als mijn privé cloud. Eeuhh... Ik ben namelijk van de oude stempel die huiverig is dat derden bij MIJN data kunnen. Als de cloud provider de infrastructuur niet op orde heeft... Vertrouwen is goed, zelf doen is beter. O ja en ik ben paranoia AF.

Zet je NAS op je intern netwerk, en gebruik een VPN oplossing (OpenVPN of zo) als je er remote aan wil kunnen. Ik ben ook vrij paranoia als het op security aankomt, en zo doe ik het met mijn Synology.

BobJung

@Fastfreddy666 • 21 oktober 2018 05:21

Snap je helemaal, Heb sinds kort een 218+ speciaal voor IPcams. Nergens anders voor. Staan 5 camera's op te draaien die voorheen aan mijn WHS 2011 server via FTP werkten. Via tweakers las ik een artikel over zo een zelfde kwetsbaarheid met IPcam updates. Ben toen een dag kwijt geraakt die dingen van nieuwe updates te voorzien. Liep er 5 achter per camera. Kan ze nu alleen lokaal benaderen en via de Synology DS Cam uitlezen. Hoelang gaat dat goed voor dit weer onveilig is?
Als Tweaker is het mijn hobby, maar als consument wil je dit helemaal niet willen onderhouden. Sterker nog ik ben geen professionele beveiligingsdeskundige en denk alles goed voor elkaar te hebben. Is dat zo? Doe gewoon mijn best met de kennis die ik heb.

Beveiliging van je data of beelden kan je alleen vertrouwen aan professionele bedrijven met cloud mogelijkheden, heb je dat vertrouwen niet stekker uit.
WD met zijn advies de stekker eruit is de enige juiste reactie en oplossing.
Dat je vervolgens 100 Euro of meer kwijt bent voor beetje cloud opslag is een dure les.

Punkbuster @Fastfreddy666 • 21 oktober 2018 12:19

Pi kopen of normale router, openvpn server erop. Alleen die Port open op je router. Altijd verbonden met huis.. zou voor de udp poort 443 gaan als openvpn port. TA plus dh key als certificaat erbij. 4096 versleuteld.. no probs

[Reactie gewijzigd door Punkbuster op 23 juli 2024 04:25]

Krulliebol @Fastfreddy666 • 22 oktober 2018 20:38

Maar hoe bereik ik het ding dan vanaf het internet?

Via een VPN wellicht?

oef! @Fastfreddy666 • 19 oktober 2018 20:29

Gewoon een reverse proxy installeren op een Linux VM met hardened nginx of Apache. Stukje port forwarding in je router instellen en je bent klaar

rammes @oef! • 19 oktober 2018 20:40

waar zit het onderdeel "gewoon" in jouw verhaal voor de gemiddelde consument

rammes @oef! • 19 oktober 2018 20:58

jammer dat je niet normaal kunt reageren.

kodak 19 oktober 2018 19:01

Interresant onderzoek, maar slecht hoe weinig te ze fabrikanten de gelegenheid hebben gegeven om te reageren of met oplossingen te komen.

Yibelo, who shared the research with TechCrunch this week and posted the findings Friday, said that many other devices may be at risk.

Dit lijkt toch wat weg te hebben van even makkelijk scoren met je onderzoek en een primeurtje door Techcrunch. Dit lijkt niet te gaan om het willen oplossen van de securitybugs.

[Reactie gewijzigd door kodak op 23 juli 2024 04:25]

sapphire @kodak • 19 oktober 2018 19:23

Denk niet dat die bugs opgelost worden. Ik heb een WD mybook live draaien en dat ding heeft in geen tijden meer een update gehad.

Hij draait achter een firewall, alle gekkigheid met apps en remote toegang via internet staat toch uit omdat het zo traag is als...nouja traaaaag.

slowdive @sapphire • 19 oktober 2018 20:03

Dat is het echte probleem. Met hooguit een paar jaartjes ondersteuning laten de fabrikanten de consumenten zitten. In theorie kan het onmogelijk worden om veel oude systemen te moeten patchen, maar ze zouden ook kunnen kijken naar een softwaresysteem dat inherent wel jaren te onderhouden is. Een auto van 10 jaar oud is toch ook niet impliciet onveilig geworden doordat de fabrieksgarantie verlopen is?
De wetgever zou dat moeten verplichten.

klonic @slowdive • 19 oktober 2018 21:47

Nou.... ik heb een ds212 en die wordt nog altijd netjes geupdat door Synology. Die stamt uit november 2011, dus inmiddels 7 jaar oud. De iPhone 5s, inmiddels 5 jaar oud, heeft ook de nieuwste iOS. 4 jaar support vind ik voor dergelijke apparaten niet echt veel.

Accretion @klonic • 20 oktober 2018 20:03

Ik heb zelf een server, die ook als NAS fungeert.

De grap is, dat ik dit zelf wel bij kan houden/updaten en veilig houden.

Ik snap niet waarom een NAS leverancier dit niet zou kunnen. Immers draaien ze gewoon hun eigen laagje op een ander OS, welke vaak support hebben voor een x aantal jaren (en daarna vaak nog zelfs compatibel zijn).

Daoka @Accretion • 20 oktober 2018 22:06

Het is natuurlijk makkelijk om 1 systeem te updaten waar andere mensen de updates voor programmeren. NAS leveranciers hebben natuurlijk over de jaren heen al verschillende soorten systemen/software gemaakt waardoor ze steeds meer en meer moet bijhouden. En uiteindelijk is het natuurlijk ook de vraag van hoeveel apparaten worden er nog gebruikt en is het dus nog de moeite/kosten nog waard om het te doen. Al is 4 jaar eigenlijk wel te kort voor apparaten wat veel langer mee kan. Dat ze geen nieuwe features maken oké. Maar ze zouden wel zulke dingen kunnen fixen.

zeroday @Accretion • 22 oktober 2018 07:49

Op zich zijn er niet al te veel NAS leveranciers. Je hebt de gevestigde orde en je hebt een aantal fabrieken die ODM en/of OEM doen. WD/Seagate/Medion etc. kopen zelf een NAS en doen geen ontwikkeling (hooguit specificatie bepalen), dat doet een fabriek. Daar zit een team met mensen aan het apparaat te werken. Enerzijds de UI aanpassen anderzijds issues. Die issues lossen ze op zolang het apparaat in de portfolio zit van de fabrikant en maandelijks X duizend items ervan verkocht kan worden. Zodra de fabrikant de forecasting naar beneden bijschroeft en er bijvoorbeeld een opvolger (of niet verschijnt) zie je dat deze fabrikant zijn resources neerlegt waar er geld verdient kan worden.

Immers deze gebakjes worden bijna tegen kostprijs verkocht met een hele dunne marge.

Een upgrade/update straat zoals een Qnap of Synology heeft die fabrikant niet omdat deze NASjes 'build to order' zijn geweest: volgens specifieke specs van de fabrikant. Op zich kunnen ze fixes wel uitbrengen, maar dan moeten ze tig source-trees door wat tijd, resources en geld kost.

OEM/ODM nasjes krijgen dus hooguit 2 tot 4 jaar na introductie de nodige updates eventueel iets langer maar dan houd het wel op. (helaas).

Accretion @zeroday • 22 oktober 2018 08:14

Hmm

Tja bij dit soort constructie neemt niemand de verantwoordelijkheid.

De fabrikant maakt updates totdat het product niet meer verkocht wordt.

En de leverancier heeft simpelweg de kennis niet.

zeroday @Accretion • 22 oktober 2018 10:44

Correct, maar zo werkt het in de praktijk voor OEM/ODM bedrijven.

PcDealer @slowdive • 21 oktober 2018 01:26

Een auto is een stuk duurder en geldt als duurzaam product.

biteMark @sapphire • 19 oktober 2018 19:47

Axentra moest zich ook maar eens druk gaan maken om hun iOS app.. Daar is sowieso sinds iOS 7 al geen update meer van geweest aan de screenshots te zien!

Audione0 @sapphire • 19 oktober 2018 19:53

….dikke stront door een trechter??...

swel @Audione0 • 19 oktober 2018 22:12

ja..je weet wel..

Audione0 @swel • 21 oktober 2018 15:36

.. oh ja..

tc-t @kodak • 19 oktober 2018 19:26

Zo kwam het bij mij ook over in eerste instantie.

Anderzijds: de onderzoekers hebben hun research deze week met TechCrunch gedeeld, en die hebben het dan vrijdag (vandaag) gepubliceerd.
Er staat natuurlijk nergens dat de onderzoekers eerst (bv. 2 weken terug al) de fabrikanten gecontacteerd hebben, maar er staat ook niet dat ze dat niet gedaan hebben.
Het kan dus best dat ze de fabrikanten toch netjes de tijd hebben gegeven voor ze TechCrunch hebben ingelicht.

Blijkbaar is WD er toch in geslaagd om te antwoorden (in tegenstelling tot de 3 anderen)

RoestVrijStaal 19 oktober 2018 19:39

Waarom hebben die bedrijven niet zoiets als een inruil-service waardoor oude NAS-systemen kunnen worden ingeleverd voor 50% korting voor nieuwe NAS-systemen? Platters eruit en korting scoren maar.

Al is het alleen maar om mensen die nu met een verouderde lekke NAS-systeem zitten niet te stimuleren om met een kleine desktoptower vol te proppen met hun platters en er FreeNAS o.i.d. op te zetten.

EddoH @RoestVrijStaal • 19 oktober 2018 19:49

Omdat dat simpelweg niet rendabel is voor het betreffende bedrijf? Met 50% korting is al je marge weg + dat je nog met bijkomende kosten als afvoer en handling van het oude apparaat zit.

DJFliX

@RoestVrijStaal • 19 oktober 2018 23:28

In zekere zin zijn de nasjes die je in zou willen ruilen het inruilen niet waard. De platforms waar er voor de fabrikanten echt geen excuus is om niet te blijven updaten (x86) wordt over het algemeen ook goed gesupport en voor een software update is dus geen inruil nodig.

Case in point: Ik heb een Netgear ReadyNAS Ultra 4. Deze werd geleverd en ondersteund met ReadyNAS OS 4.x (gebaseerd op een toen al verouderde linux distro). Hoewel Netgear officieel geen upgrade naar ReadyNAS OS 6.x heeft aangekondigd, gefaciliteerd of zelfs verzorgd heeft is het doodeenvoudig om deze 6.x firmware te flashen en door de generieke x86 architectuur werkt ook alles gewoon. Eens in de paar maanden krijg ik dus dezelfde software als wat er op de meest recente Netgear x86-based nasjes staat en hoewel de CPU geen snelheidsmonster is, is mijn inmiddels bijna acht jaar oude NAS nog steeds (beveiligingstechnisch) up to date.

Nu staat Netgear niet bekend om zijn geweldige updatebeleid op het gebied van camera's, routers, etc maar als zelfs Netgear dit goed kan dan zit je met Synology/QNAP x86 devices zeker goed: software development budget van die bedrijven is nog vele malen groter dan dat van Netgear.

[Reactie gewijzigd door DJFliX op 23 juli 2024 04:25]

ariekanari 19 oktober 2018 20:00

Volgens mij zijn de Medion NASsen meestal Zyxel NASsen, het klinkt mij dus vreemd in de oren dat Zyxel hier niet genoemd wordt.

preske @ariekanari • 19 oktober 2018 20:13

Mijn oude Medion was idd een rebranded Zyxel.

Mijzelf @ariekanari • 19 oktober 2018 22:15

Dit gaat over een nieuwere generatie NASsen, die geen ZyXEL firmware draaien, maar Hipserv firmware.

synoniem 19 oktober 2018 19:39

Die Hipserv software is al jaren zo lek als een mandje. Afgezien daarvan zou ik een NAS altijd achter een firewall plaatsen omdat zo'n dataverzameling altijd verkeerde personen aantrekt. Genoeg mogelijkheden met SSH of een VPN om je data veilig te kunnen benaderen zonder je NAS rechtstreeks aan het net te hangen.

CAPSLOCK2000

Security

20 oktober 2018 10:55

Zolang fabrikanten niet afgerekend worden op slechte kwaliteit gaat er niks veranderen. Fabrikanten verschuilen zich achter het excuus dat zij ook niet konden weten dat hun software lek was, maar ik krijg de indruk dat de meesten geen enkele moeite doen om daar verandering in te brengen.

Voor de duidelijkheid, ik neem ze niet kwalijk dat er fouten worden gemaakt, dat gebeurd overal, het gaat er om hoe ze er mee om gaan. Als je je klanten na twee jaar laat zitten omdat de garantie voorbij is dan sta je wettelijk gezien in je recht maar ben je in mijn ogen verkeerd bezig. En wij slikken het. Een auto die 1 jaar na de garantie verlopen is z'n onderkant verliest zal onmiddellijk voor de rechter gedaagd worden.

Het hele model is natuurlijk hopeloos verkeerd. Software schrijven is moeilijk. Een heel OS veilig houden is ontzettend moeilijk. Het is waanzin dat zo'n beetje iedere fabrikant z'n eigen OS-kloon beheert, en soms zelfs voor ieder product een andere variant. Nogal wiedes dat het mis gaat als de markt zo versnipperd is. Het hoeft niet zo te zijn, 95% van dat soort apparatuur draait een Linux-variant, ze zouden allemaal samen kunnen werken aan één gemeenschappelijk OS, een Linux-distributie, zodat ze niet allemaal het wiel opnieuw moeten uitvinden.
Als je maar ver genoeg terug gaat, tot de Linux-kernel, dan wordt er wel succesvol samengewerkt. Ook de laag daaronder, de rest van het OS, zou veel meer verenigd moeten worden. De fabrikanten hoeven zich dan alleen nog maar te richten op de front-end en andere onderscheidende features. Praktisch gezien doen ze dat nu ook al, maar dan op een wankele basis.

epias 19 oktober 2018 20:57

Die WD My Books draaien als een tierelier waren destijds goedkoop/snel en extreem hackable; je kunt er mee doen wat je wilt. Enige probleem is dat de koeling niet optimaal is.

Mrkend54l @epias • 19 oktober 2018 23:38

Hoe kom je daar bij?
Dat is ook het eerste wat ik daar van hoor.

jiriw @Mrkend54l • 20 oktober 2018 11:47

Ik heb ook een WD MyBook World NASje. Was inderdaad niet moeilijk om SSH en user/password based login prompt aan de gang te krijgen en root access te verkrijgen. Daarna kan je er een Optware suite voor extra apps op installeren, bijvoorbeeld.

Linux based, aparte systeem partitie op de HDD(s) die in het apparaat zitten... in principe zou je ook voor het systeem zelf software kunnen updaten... een nieuwe kernel crosscompilen en er op zetten bijvoorbeeld. Maar dat is wat risicovoller omdat je je apparaat brickt als je niet de juiste opties er in compileert of de kernel binary niet goed plaatst in de systeem partitie. Booten gaat namelijk niet zoals je van een 'generieke' computer gewend bent (geen BIOS oid.) Echter, omdat het OS op de HDD(s) staat, kan je een stock partitie terug 'dd'-en en een nieuwe poging wagen als het moet.

Op dit item kan niet meer gereageerd worden.

'Oudere Nas-systemen van WD, Netgear, Seagate en Medion bevatten rce-lek'

Lees meer

Reacties (44)

Sorteer op:

Weergave: