Twee kwetsbaarheden in firmware QNAP TS-231 maken overname nas mogelijk

Cybersecuritybedrijf SAM Seamless Network ontdekte twee kwetsbaarheden in een QNAP-nas-systeem. Via beide kwetsbaarheden is het volgens SAM mogelijk om code op afstand uit te voeren. Het bedrijf laat weten dat QNAP op de hoogte is gesteld, maar geen oplossing heeft.

Volgens SAM Seamless Network lopen alle QNAP TS-231-systemen met firmwareversie 4.3.6.1446 gevaar. Deze firmware is op 20 september 2020 uitgekomen en het nas-systeem in kwestie wordt op de website van QNAP aangeduid als een end-of-life-product. Het cybersecuritybedrijf sluit niet uit dat andere modellen met recentere firmwareversies dezelfde kwetsbaarheden bevatten.

Bij de eerste kwetsbaarheid ontdekte SAM dat het mogelijk was om code uit te voeren bij de cgi-files van het QNAP-nas-systeem die niet om authenticatie vroegen. "We focusten ons op cgi-files die niet om authenticatie vroegen en vuurden daar aangepaste http-requests op af. Dat leidde in sommige gevallen tot een indirecte remote code execution", aldus het bedrijf. Volgens SAM kan QNAP deze kwetsbaarheid uit de wereld helpen door input sanitization toe te passen bij de belangrijkste processen en in de API-libraries.

De tweede kwetsbaarheid die SAM ontdekte, vindt plaats in de DLNA-server van het nas-systeem. Het DLNA-protocol wordt door de nas uitgevoerd als myupnpmediasvr op poort 8200 en verwerkt ook upnp-requests op diezelfde poort. Volgens SAM is het dan ook mogelijk voor hackers om op niet bestaande serverlocaties data te creëren en code op afstand uit te voeren op het nas-systeem.

Na het ontdekken van de kwetsbaarheden heeft SAM QNAP onmiddellijk op de hoogte gebracht en de standaard afgesproken uitstelperiode nageleefd voordat het met het nieuws naar buiten kwam. QNAP heeft volgens het cybersecuritybedrijf nog geen gevolg gegeven aan de kwetsbaarheden.

Door Jay Stout

Redacteur

02-04-2021 • 16:07

27

Reacties (27)

Sorteer op:

Weergave:

De nieuwste firmware voor de ts231 is QTS 4.3.6.1620 build 20210322, en gepubliceerd op 1-4-2021. Qnap brengt voor oudere modellen nog steeds updates uit, in dit geval gelimiteerd tot versie 4.3.6 van QTS, waar de nieuwere modellen al op versie 4.5 zitten
Hoezo laatste firmware is van 20 september 2020?
Hij wordt gewoon nog geüpdatet
Nieuwste versie is 4.3.6.1620 build 20210322 van 1-april 2021
Huiswerk niet goed gedaan :)
Volgens dit krijgt de TS-231 nog security updates tot Februari 2022.
Hoe serieus QNAP daarmee omgaat zou ik verder niet weten.
Ook hardware lijkt nog gerepaeerd te worden.
Dus misschien wel EOL, maar (nog) niet volledig EOS.
Er staat niet dat dat de nieuwste firmware is, alleen dat het product officieel als end-of-life aangeduid is. Begrijpend lezen niet goed gedaan :)
Ervaring leert dat bij qnap is de definitie van end-of-life betekend dat het versie nummer van de firmware alleen nog bij het build-nummer ophoogt. Daarbij komt er geen nieuwe functionaliteit meer in de firmware. Maar een aantal keer per jaar nog wel security updates.

Detail, de add-ons worden nog wel wat actiever onderhouden omdat die vaak nog wel op de oudere firmware werken. Daarmee komt dus toch nog wel wat nieuwe software binnen.
"geen nieuwe functionaliteit" klopt wel; bij elke update zie je dat ze functionaliteit weghalen. Ze zullen wel meedoen aan het z.g. "planned obsolescence" principe.
Begrijpend schrijven niet goed gedaan.

Ik lees het stuk en denk, de firmware die wordt genoemd is kennelijk de laatste want het product is end of life. Dus zo'n gekke opmerking is het niet van trinity999. Tevens is het een nuttige toevoeging aan het artikel.

[Reactie gewijzigd door KoffieAnanas op 23 juli 2024 15:56]

Er is geen reden om alleen maar omdat het product ook end of life is maar aan te nemen dat een genoemde firmware versie dus maar de laatste is. Er staat namelijk niet bij sinds wanneer het product eol is, wat nogal relevant is omdat in de tussentijd gewoon firmware uitgegeven kan zijn.
Er is geen reden om alleen maar omdat het product ook end of life is maar aan te nemen dat een genoemde firmware versie dus maar de laatste is.
Daar heb je gelijk in. Echter betrap ik me er ook op dat ik de aanname deed dat het dus de laatste firmware dan wel zou zijn. Naar mijn mening kan daar bij het schrijven van het artikel prima rekening mee gehouden worden. Anders verwoorden zou netjes zijn.

[Reactie gewijzigd door blurryilluzion op 23 juli 2024 15:56]

...firmwareversie 4.3.6.1446 gevaar. Deze firmware is op 20 september 2020 uitgekomen...
er staat nergens dat dit de laatste firmware is, enkel dat genoemde model TS-231 end-of-life status heeft
Deze firmware is op 20 september 2020 uitgekomen en het nas-systeem in kwestie wordt op de website van QNAP aangeduid als een end-of-life-product
Toen ik deze regel las was mijn eerste indruk ook dat er geen recentere firmware beschikbaar was.
Dit gevoel werd nog eens versterkt door:
QNAP heeft volgens het cybersecuritybedrijf nog geen gevolg gegeven aan de kwetsbaarheden.
Dus de nieuwe firmware heeft deze bug dus ook, anders had QNAP geen gevolg hoeven te geven.

[Reactie gewijzigd door Goldwing1973 op 23 juli 2024 15:56]

QNAP lijkt al gehandeld te hebben.

Firmware van 01-04-2021 (4.3.6.1620 build 20210322):
[Security Updates]
- Fixed a command injection vulnerability (CVE-2020-2509).
- Fixed a vulnerability in Apache HTTP server (CVE-2020-9490).

[Reactie gewijzigd door floris_hack op 23 juli 2024 15:56]

Als het bij qnap om de TS231 gaat, dan gaat het praktisch altijd ook over de TS431. Bij qnap is het eerste cijfer van de nas-types het aantal harddisks dat er in kan. Bij de TS231 dus 2 en de TS431 dus 4. Verder zijn de machines in de regel praktisch gelijk en wordt ook de zelfde firmware en software gedraaid.

Zelf heb ik een iets oudere, de TS419. Die draait os/firmware versie 4.3.3.1432, van oktober 2020. Het zal mij benieuwen of het issue daar ook te vinden is. De firmware wordt bij qnap redelijk gelijk gehouden, tot het uit de support valt, dan is het alleen nog extreme security patches.

Over het issue in de DLNA c.q. upnp vraag ik mij wel af welke software daar voor gedraaid wordt. Voor mijn qnap is er voor DLNA een aantal verschillende packages beschikbaar die je apart kan (de-) installeren.
Het zou handig zijn moest er gespecifieerd worden over welk product het nu eigenlijk gaat.
De TS-231 bestaat denk ik niet, wel de TS-231+(EOL), TS-231P(EOL), TS-231P2, TS-231P3, TS-231K .
Uit het securingsam artikel kan ik het niet opmaken, en dus enkel 2 van de vele varianten zijn End-of-life.
Ik snap niet waarom mensen QNAP nog kopen. Zoveel lekken niet te geloven. Weet iemand dat dit nog steeds komt omdat alles als root draait?
Of is het omdat het een grote speler is en wat meer onder de loep ligt?
Omdat die goede 5G usb nics heeft die top zijn. Een pleonasme om de emotie uit te drukken
Overdrijven is ook een kunst.
Ik snap het wel. Mijn TS453Pro is zowat zes jaar oud en krijgt nog steeds netjes OS updates... dat vind ik toch wel een goed argument. Ik gebruik hem tegenwoordig wel enkel als backup-systeem en mediaserver, voor de overige taken is hij niet meer krachtig genoeg.
De budget modellen zijn ook niet eens memory-upgradable. Iets wat zelfs m'n oude ReadyNAS NV+ kon. Wel wat spijt gehad over m'n keuze (1GB RAM). Gelukkig was ik niet van plan om VMs te draaien, maar wat meer cache zou wel fijn zijn. Voor up/downloads bijv.

[Reactie gewijzigd door darkfader op 23 juli 2024 15:56]

Was mijn NAS al een tijdje zat maar hik ernstig tegen het gedoe aan om de gegevens over te zetten naar een nieuwe... Adviezen zijn van harte welkom om mijn TS-231 te vervangen? Alvast bedankt _/-\o_
Of aanhouden tot deze EOS is (dus geen beveiligingsbedrijf updates meer) of zsm verkopen na een migratie naar een nieuwe NAS.

Qua migratie: koop een nieuwe NAS met nieuwe schijven (als die ook al ouder zijn lijkt me dat ook handig) en zet dan de data over, even helemaal een verse config is zo nu en dan ook niet erg :)

Mocht je je oude schijven willen hergebruiken, koop dan een NAS met minimaal 4 bays en 1 schijf (zelfde grote als in je huidige raid set), dan zet je je data over, dan 1 oude schijf overzetten naar de nieuwe NAS (je raid in de oude wordt degraded maar de data kun je nog steeds bij, raid migration naar raid 1 in je nieuwe NAS) en de laatste disk in je oude NAS voor backups gebruiken in een usb case, of aan je raid toevoegen en dan dus migreren naar raid5.

Het blijft wat werk, maar het kan veilig gedaan worden zo. Je kunt ook je disks over zetten naar een nieuwe QNAP NAS en dan de firmware van de nieuwe NAS installeren en de shares weer mounten, maar zonder backup zou ik dat niet zomaar aandurven, en goed kijken of een dergelijke migratie kan van je oude naar een nieuwer model (te vinden op de QNAP site.

Als je naar een nieuwe NAS gaat zoeken kijk dan vooral naar recente modellen van maximaal een jaar oud, dat scheelt weer een jaar aan het eind van de ondersteuning voordat je weer ‘moet’ migreren.

[Reactie gewijzigd door mjl op 23 juli 2024 15:56]

Het zou fijn zijn als er een manier was zonder RAID-migratie in al die tussenstappen. Maar goed, schijven worden naar paar jaar gelukkig goedkoper/groter dus een paar nieuwe schijven is ook niet zo erg.
Kan wel, maar alleen als de nieuwe NAS en oude compatibel zijn en ik zou het niet zonder full backup doen.

Een raid migratie is niet zo spannend hoor, duurt een flink aantal uur afhankelijk van de disk grootte.
Een oudere pc, proxmox en dan wat he nodig hebt in VM’s draaien (Openmediavault, mineos, homeassistant, pihole,...)
Ik heb zelf een QNAP TS431+ draaien. Net gekeken en geeft aan dat de update QTS 4.5.2.1594 Build 20210302 klaar staat om geinstalleerd te worden.

Hoe ik kan controleren of mijn QNAP besmet is ?
Ze hebben het over kwetsbaarheden, niet over of deze al actief gebruikt worden, die kans wordt nu we groter nu het lek bekend is.

Op dit item kan niet meer gereageerd worden.