QNAP dicht ernstige kwetsbaarheden in software voor nas-systemen

QNAP meldt meerdere kwetsbaarheden in software voor zijn nas-systemen verholpen te hebben, waaronder in de Qusbcam2-software. Ook switches van het bedrijf die QuNetSwitch draaien, waren kwetsbaar.

QNAP meldt in een beveiligingswaarschuwing dat Qusbcam2 een kritieke bufferoverflowkwetsbaarheid had die aanvallers konden uitbuiten om zo willekeurig code op kwetsbare systemen uit te voeren. Het probleem is verholpen bij Qusbcam2 1.1.4 op QTS 4.5.4, QTS 4.3.6 en QuTS h4.5.3 en latere versies. De software maakt het mogelijk een externe camera op een nas-systeem aan te sluiten en het beeld op afstand te bekijken.

In de besturingssystemen QTS, QuTS hero en QuTScloud bleken twee stackbufferoverflowfouten te zitten die het draaien van kwaadaardige code mogelijk maakten. QNAP markeert deze problemen als 'ernstig' maar niet kritiek.

Kritiek zijn dan wel weer twee stackbufferoverflowproblemen van NVR Storage Expansion. Deze zijn verholpen bij versie 1.0.6 en latere versies van deze software voor video-opnames via netwerken. Ten slotte is een kwetsbaarheid verholpen in de QSW-M2116P-2T2S en QNAP-switches die QuNetSwitch draaien. Deze maakte het uitlezen van gevoelige data mogelijk.

Updates QTS, QuTS hero en QuTScloud	Updates QSW en QuNetSwitch
QTS 5.0.0.1716 build 20210701 en later	QSW-M2116P-2T2S 1.0.6 build 210713 en later
QTS 4.5.4.1715 build 2021063 en later	QGD-1600P: QuNetSwitch 1.0.6.1509 en later
QTS 4.3.6.1750 build 20210730 en later	QGD-1602P: QuNetSwitch 1.0.6.1509 en later
QTS 4.3.3.1693 build 20210624 en later	QGD-3014PT: QuNetSwitch 1.0.6.1519 en later
QuTS hero h4.5.4.1771 build 20210825 en later
QuTScloud c4.5.6.1755 en later

Reacties (54)

Danny the dog 10 september 2021 14:38

Dit blijft toch een wederkerend dingetje bij QNAP...
In de afgelopen periode zijn er vaker van dit soort berichten voorbij gekomen hier op Tweakers.

[Reactie gewijzigd door Danny the dog op 25 juli 2024 23:46]

beerse

QNAP

@Danny the dog • 10 september 2021 15:27

Dat wederkerende: Mijn qnap419P+ (pricewatch: QNAP TS-419P+ Turbo NAS) van praktisch 10 jaar oud heeft de udpate QTS 4.3.3.1693 build 20210624, zelfs later al een maandje draaien. Hulde voor qnap dat ze dergelijke oude hardware nog steeds van beveiligingsupdates voorzien.

[Reactie gewijzigd door beerse op 25 juli 2024 23:46]

OMEGA_ReD @beerse • 10 september 2021 17:35

Zo zeker! Heb het idee dat synology minder lang updates geeft.

WillySis @OMEGA_ReD • 10 september 2021 17:40

Oude hardware van Synology wordt heel lang van updates voorzien. De DS209 die ik heb staan (is uit 2008) krijgt nog altijd veiligheidsupdates. De upgrades naar een nieuwe versie van het OS houden na een jaar of acht op.

tweazer @WillySis • 10 september 2021 18:50

Eigenlijk zou bij niet meer gesupporte hardware, de software abandonware moeten worden, bij wet vrijgegeven. met wat aktuelere updates uit de community zou de vuinisbelt verschoont kunnen worden van onnodig afval ...

com2,1ghz @tweazer • 10 september 2021 20:56

Met een NAS vind ik het op zich nog wel meevallen omdat het ook zonder internet voldoende kan functioneren. In het ergste geval hang je er een Raspberri Pi ervoor die toegang geeft.

WillySis @tweazer • 10 september 2021 23:11

Synology blijft zijn hardware gewoon ondersteunen met patches. Anders kan je de hard-drives nog overzetten en is de hoeveelheid hardware wat je weggooit maar weinig. Het is niet veel meer dan een doos met een klein printplaatje.
De software vrijgeven als abandonware is een idee, maar ik weet niet of er een voldoende grote community van oude hardware ontstaat om patches te schrijven voor nieuwe lekken. In het geval van een nas kan je die icm de router al behoorlijk goed dichttimmeren, zeker als je hem alleen als interne file-server gebruikt.

Accretion @tweazer • 11 september 2021 10:09

Ik draai Ubuntu op m'n QNAP.

beerse

QNAP

@tweazer • 13 september 2021 17:42

Bij qnap gebeurt dat tot op zekere hoogte ook: In de qnap software kunnen apps worden geÏnstalleerd. Maar zoals ook op smartphones heeft die software steeds grotere eisen aan de onderliggende firmware of het besturingssysteem of hoe je het ook wilt noemen. Daarmee zijn er in de afgelopen jaren op mijn qnap al een aantal stukken software afgevallen.

Voor mij was dat geen reden om de qnap te verlaten, het was meer dat ik mij bewust was dat ik die software toch niet meer gebruikte of dat er alternativen zijn.

bussie66 @OMEGA_ReD • 10 september 2021 23:44

Inderdaad een idee van je.

De praktijk is anders.

marcelnooijen @OMEGA_ReD • 11 september 2021 19:28

Nou dan zie je dat verkeerd kan ik je zeggen. Ik heb een Synology NAS gekozen JUIST omdat hun update beleid beter is dan bij QNAP.

beerse

QNAP

@marcelnooijen • 13 september 2021 17:48

Er is een tijd geweest dat qnap problemen had met het bijhouden/updaten van de firmware, het besturingssysteem. Maar gelukkig liggen die tijden al weer lang achter ons. Zowel qnap als synology staan voor de nas-systemen op hoog niveau.

Voor de aangeboden pakketten die je zelf aan de systemen kan toevoegen heb ik ook het idee dat ze elkaar niet veel ontlopen. Natuurlijk heeft ieder zijn doel die op 1 van beide mogelijk beter wordt onderhouden. Dat is mede omdat dit deels opensource is en ook deels door gebruikers zoals wij word getrokken en geduwd.

raven22 @Danny the dog • 10 september 2021 14:50

Dat is waar en het mag ook geen excuus zijn, maar een qnap heeft ook vele mogelijkheden en dus grotere kans dat er ergens een probleem is.

Danny the dog @raven22 • 10 september 2021 15:00

Bij Synology zie ik dit soort berichten niet terugkomen, in ieder geval in de recentere geschiedenis.

(Ik heb trouwens ook een QNAP, ben absoluut geen tegenstander van een van beide merken)

JWL92 @Danny the dog • 10 september 2021 15:08

Meteen bovenaan op de door jouw geposte link
nieuws: Synology waarschuwt voor malware die nas-apparaten infecteert

Danny the dog @JWL92 • 10 september 2021 15:17

Had ik gezien, maar als je het gelinkte artikel leest, zie je:

....heeft StealthWorker zijn pijlen gericht op nas-apparaten van Synology, maar gebruikt het voor zover bekend geen softwarekwetsbaarheden.

Heeft dus niks te maken met de firmware, zoals hier van toepassing voor QNAP.

(En dan zie je dat je meteen 6x gedownmod wordt)

bytemaster460 @Danny the dog • 11 september 2021 11:51

Qbuscam is ook geen firmware

robbinkg @JWL92 • 10 september 2021 17:01

Ook het artikel gelezen??

FrankHe

@JWL92 • 11 september 2021 10:19

* Vote: 0 Off-topic / Irrelevant

Een gevalletje klok en klepel vindt u niet?

Er staat: "... waarschuwt dat er een sterke toename is van het aantal bruteforce-aanvallen ...", dat is heel wat anders dan "we hebben een lek".

the_stickie @Danny the dog • 11 september 2021 00:17

https://www.cvedetails.com/vendor/11138/Synology.html
https://www.cvedetails.com/vendor/10080/Qnap.html

't gaat zowat gelijk op. Bij dergelijke bedrijven is het een goed teken dat er cve's gepubliceerd worden en updates volgen. Hoeveel is niet echt een zinvolle metric. Noch QNAP noch Synology pakken kwetsbaarheden slecht aan imo. Beiden hebben :
- (meestal) updates voor publicatie van CVE's
- auto-update functionaliteiten (inclusief mailtje aan de admin als er iets gereed staat)
- open communicatie ivm gevonden en opgeloste kwetsbaarheden

Waar misschien een verschil ligt, is in hoeverre kwetsbaarheden in de 'algemene' pers belanden, kan dat zijn omdat de policy omtrent persberichten niet gelijkloopt?

GertMenkel

Beveiliging en antivirus

@Danny the dog • 10 september 2021 15:33

Ik denk dat dat vooral is omdat Tweakers ervoor kiest het niet als nieuws te publiceren. Synology heeft meer dan genoeg securitypatches uitgebracht, waar voor veel modellen nog steeds geen patch voor beschikbaar is maar wel bekend is dat ze kwetsbaar zijn. Zo is er voor de SkyNAS een bekende kwetsbaarheid waarmee remote code execution mogelijk is, maar daar zie heeft Tweakers niet over geschreven.

Ik denk dat het is omdat men van Synology regelmatig updates verwacht en van QNAP niet. Hoe vaker QNAP fixes vrijgeeft, hoe beter natuurlijk. Geen enkele NAS is veilig, en hoe opener een merk is over dit soort dingen, hoe beter.

bbob 10 september 2021 14:27

Zou een Nas sowieso niet aan het internet willen hangen, dan voorkom je misbruik van dit soort bugs.

Luchtbakker @bbob • 10 september 2021 14:34

Zou een Nas sowieso niet aan het internet willen hangen, dan voorkom je misbruik van dit soort bugs.

Er is niks mis om je NAS aan het net te hangen. Maar gooi niet zomaar elke poort open dat voor issues kan zorgen. Als ik zie hoeveel mensen poort 22 gewoon open gooien, dan vraag je om problemen.
En zorg er voor dat je 2FA aan hebt staan. Zorg daarnaast dat je NAS dagelijks naar updates zoekt.

Dan kan er echt weinig gebeuren.

[Reactie gewijzigd door Luchtbakker op 25 juli 2024 23:46]

Houtenklaas @Luchtbakker • 10 september 2021 16:10

Het verschil is maar net wie de gebruiker is. Jan de buurman wil hem aanzetten, ziet dat het werkt en is er klaar mee. De tech savy nerd heeft legio tools om poort 22 op een verantwoorde wijze open te zetten richting internet. 2FA, port knocking, VPN naar het eigen netwerk, Fail2ban, SSH keys gebruiken, geofencing. Als iemand bij mij überhaupt ook maar in de buurt van mijn SSH daemon komtj, dan verdien je het om in te mogen loggen.

Het probleem zit hem juist in die "Jan de buurman" types. Aanzetten, zien dat het werkt en klaar is Klara. Een fabrikant wil zoveel mogelijk verkopen en heeft geen enkel belang om die drempel hoger te maken. Ik denk weleens dat dat soort mensen tegen zichzelf in bescherming genomen moet worden. Maar om nu proactief hun netwerk te scannen is ook zo wat.

Firestorm @Houtenklaas • 11 september 2021 09:17

Ik blijf het nog steeds een vreemde situatie vinden dat er zo weinig profs ingeschakeld worden om een netwerk aan te leggen thuis. Ter vergelijking: voor elk kraanleertje wordt er een loodgieter gebeld, voor het resetten van de gasketel moet er een monteur komen en voor een lampje op het dashboard wordt zonder blikken of blozen de wagen naar de garage gebracht, want: "hebbik-geen-verstand-van". Zelf doen is 'gevaarlijk', terwijl bij een netwerk zonder blikken of blozen de risico's, samen met de incompetentie van tafel geveegd worden.

bytemaster460 @Firestorm • 11 september 2021 12:00

Ik weet niet of dat vergelijk opgaat. De mensen die nog geen kraanleertje kunnen vervangen gaan ook niet zelf rommelen met een netwerk. Je hebt aan de ene kant mensen die alles zelf doen, met wisselend succes en aan de andere kant mensen die voor alles een expert inschakelen.
Daarnaast kun je aan een netwerk meestal niet zoen dat er iets mis is. Als een kraan druppelt of de auto een probleem heeft zie je dat meteen en kun je actie ondernemen.

Houtenklaas @bytemaster460 • 11 september 2021 20:27

@Firestorm heeft echt wel een punt. Een kraanleertje heeft een groot zichtbare faalkans, waar een netwerk die zichtbaarheid niet heeft. Pappa die laat zien dat het werkt is de held in huis - op dat moment tenminste. En dat geeft je zelf ook in je laatste zin aan. Het gebrek aan zichtbaarheid is het grote probleem.

roffeltjes @Firestorm • 12 september 2021 01:08

Dat komt omdat je wifi plug en play is vanaf je Ziggo box, het is niet alsof je merkt dat er wat loos is...terwijl een lekkende kraan of een waarschuwing op je dashboard wel opvallen

Ik ga ook geen geld betalen aan een loodgieter om mijn niet lekkende leidingen goed in te regelen...

scsirob @Luchtbakker • 13 september 2021 20:37

...Zorg daarnaast dat je NAS dagelijks naar updates zoekt.
Dan kan er echt weinig gebeuren.

Dat laatste ben ik het hardgrondig mee oneens.
Ik draai twee QNAP TVS-473's en ik wacht minimaal een maand voordat er een update op mijn NAS komt. QNAP heeft de afgelopen tijd een fors aantal uitglijders gemaakt waarbij updates je NAS onbruikbaar maakten.

FlyingDutchMen @bbob • 10 september 2021 15:34

Is dat niet meestal een van de dingen waarvoor je ene NAS hebt? Eigen storage ipv cloud Is je eigen NAS ook niet cloud?. Maar ben het eens met @TheProphet, het beheer moete alleen wel goed zijn. Een Nginx er tussen kan bijv. al wonderen doen.

bbob @FlyingDutchMen • 10 september 2021 16:29

Eigen storage i.p.v cloud. Ja en nee.
Heb een nas die ik niet van het internet kan benaderen.
De nas upload wel ieder nieuw bestand naar een cloud drive als backup. Je moet er toch rekening mee houden, nas crash, gestolen, bliksem inslag en ondanks dat je een nas hebt wil je toch een backup van je data op een andere locatie dus zit je met de combinatie NAS en Cloud.
Bestanden kan ik dan als het moet via de cloud benaderen. Er is een optie dat het beide kanten op werkt,dus cloud bestand toevoegen of wijzigen en x minuten later heb ik de wijziging ook lokaal.

Probleem wat vele hierboven al schreven. Op tweakers zul je meer mensen vinden die een nas goed beveiligen, 2fa vpn enz. Maar de doorsnee gebruiker die komt lang zo ver niet. Voor die gebruiker is het hangen van je nas aan het net dan gewoon een gevaar wat je niet wil.

TheProphet

@bbob • 10 september 2021 14:33

Je kan een Nas prima aan het internet hangen, je moet alleen niet het beheer openzetten.

Munki @TheProphet • 10 september 2021 14:41

Hoe?

darknessblade @Munki • 10 september 2021 14:49

1 optie is, door meerdere accounts te gebruiken, waarbij het admin account geen remote access heeft.

Rataplan_ @darknessblade • 10 september 2021 15:26

Zolang je admin interface überhaupt openstaat, kan bij gebruik van de 'juiste' exploit evengoed misbruik gemaakt worden. Admin interface NOOIT aan internet hangen, alleen door een VPN wat mij betreft.

KoffieAnanas @Rataplan_ • 10 september 2021 15:41

Ik ken geen admin interface op de QNAP? Ik ken wel een user login screen. Generiek inlogscherm voor gewone gebruikers en admins.

Ik heb wel 1 poort openstaan naar het internet, maar een admin interface die openstaat ken ik niet? Wat moet ik me daarbij voorstellen?

Ik heb op mijn QNAP
- 1 https poort openstaan, maar niet op de gebruikelijke poort 443
- het standaard admin account disabled, en een ander admin account aangemaakt
- 2FA aanstaan
- 3 foutieve inlog pogingen in 5 minuten is in een permanente ban

Sowieso maak ik een daily backup naar een andere NAS in huis, die niet verbonden is met het internet. En die andere NAS haalt de data op van de NAS die wel aan het internet hangt, niet andersom. Tot slot wordt er ook nog een encrypted cloud backup gemaakt mocht mijn huis afbranden.

Al met al maak ik me bijzonder weinig zorgen.

sjongenelen @KoffieAnanas • 10 september 2021 16:37

Klinkt goed. Misschien nog een subnet restrictie voor buiten EU

Houtenklaas @sjongenelen • 10 september 2021 19:35

Ik zou hem minstens uitbreiden met een VPN die op je router getermineerd wordt. Dan heb je in ieder geval twee drempels opgeworpen ...

sjongenelen @Houtenklaas • 10 september 2021 19:41

Ook voor jezelf

Houtenklaas @sjongenelen • 10 september 2021 19:48

Ik ervaar dat niet als een drempel maar een manier om ongewenst volk buiten de deur te houden. Aan de fail2ban logging te zien lukt dat ook heel aardig. Wat ik wel bijzonder vind, kortgeleden voor een test wat extra IP adressen genomen voor een test bij een bedrijf die dat levert over een GRE tunnel. Binnen 3 minuten stond de eerste op de stoep, binnen een paar uur behoorlijk wat pogingen om binnen te komen. Kortom, het is gewoon nodig. Het goede nieuws voor mij, zolang er zielen zijn die de deur wagenwijd openzetten is het bij mij minder interessant ...

Toevoeging: SSH zit bij mij achter een VPN en een portknocking ding, maar HTTP/HTTPS/SMTP/IMAP staan (uiteraard) open richting buitenwereld voor de website en de mail. Daar doet fail2ban uiterst nuttig werk.

[Reactie gewijzigd door Houtenklaas op 25 juli 2024 23:46]

sjongenelen @Houtenklaas • 10 september 2021 20:46

Ja precies, dat klinkt handig. Ik krijg toch ook veel ongewenst verkeer aangeboden

TheProphet

@darknessblade • 10 september 2021 14:52

Het admin account disabelen is bij mij altijd de eerste stap, verder sterke wachtwoorden gebruiken en een login policy opstellen, 3x binnen 60 minuten is een perm. ban aan je adres.

Lisadr @TheProphet • 10 september 2021 15:12

Vergeet 2-step verification niet en blokkeren van alle poorten en apps die je niet gebruikt of een risico vormen.

Magic @TheProphet • 10 september 2021 15:48

Dat autoblock na 3 foute logins in 60 minuten had ik ook ingesteld in mijn synology, maar na het onderzoeken van de logs zie ik veel ip-adressen langskomen die gewoon eens per 2 a 3 uur met admin/veelgebruiktepassword proberen in te loggen. En dat soms maanden achtereen. Uiteraard staat het admin account uit en draait de DSM op een non-default port, enkel te bereiken vanaf Nederlandse ip-adressen (ik weet dat dat niet perfect is, maar het is iets), maar vroeg of laat vinden ze het toch.

batjes @Magic • 10 september 2021 19:37

Een certificaat is voor SSH veel beter aan te raden dan een wachtwoord, met een deftig cerfiticaat hoef je je geen zorgen te maken dat ze dat weten te raden. Neemt niet weg dat dingen zoals fail2ban wel je verdediging een beetje versterken. Meeste IP's zijn onderdeel van botnets en daar komt meer gedonder vanaf.

aikebah @batjes • 10 september 2021 23:45

Private key zul je bedoelen. Certificaten zijn er voor het publiceren van een publieke sleutel. Die mag Jan en alleman hebben, daar is ie voor bedoeld.

Houtenklaas @Magic • 10 september 2021 19:39

Met fail2ban - maar ik weet niet of dat beschikbaar is voor QNAP - kan je heel scherp instellen waar de grenzen zitten qua pogingen. Eerst 15 minuten bannen, daarna een dag en daarna voor de eeuwigheid en alles daartussenin. Ik bekijk elke week weer even met veel plezier de logging van fail2ban ... Altijd weer een mooi begin van het weekend

MiesvanderLippe @Munki • 10 september 2021 15:38

Bijvoorbeeld alleen je FTP poort open zetten en daar een beperkt account voor gebruiken. Als je weet waar je verkeer vandaan komt (bijvoorbeeld een andere locatie) dan kun je ook een IP whitelist instellen.

eltweako @bbob • 10 september 2021 14:34

Klopt, maar dat is niet waar de meeste mensen een NAS voor kopen.
Ik heb de NAS zelf ook in een geïsoleerd netwerk segment staan waar ik alleen buitenaf via VPN bij kan.
Echter kopen mensen een NAS Zodat ze overal bij hun gegevens kunnen, dat kan tegenwoordig met de grote merken middels de cloud en mooie mobiele apps.

De "gemiddelde" consument gaat ervan uit dat als deze bij de lokale elektronica stunter een NAS koopt dat het apparaat "veilig" is. Stekker er in, app installeren, wizardje volgen, klaar.

tweazer @bbob • 10 september 2021 18:52

Met een vpn op de client naar 'inside' heb je best of both worlds, geen publieke nas, maar vanuit publiek en encrypted een veilige en functionele dienst .. Moet alleen die vpn oplossing wel up to date zijn

GertMenkel

Beveiliging en antivirus

10 september 2021 15:27

Ik vermoed dat de kwetsbaarheden waarnaar verwezen wordt uit OpenSSL komen (bron van tien dagen geleden).

Vermoedelijk is QNAP niet de enige die hierdoor getroffen is, en zijn de NAS'en waar een patch voor beschikbaar is ook niet de enige producten die hier last van hebben. Vooral die ASN-kwetsbaarheid ziet er gevoelig uit, die tweede kwetsbaarheid is afhankelijk van bepaalde keuzes van de programmeur dus zal minder waarschijnlijk voorkomen in andere producten.

Ik vind het wel jammer dat dit bij QNAP nu als nieuws wordt gebracht (in plaats van een normale beveiligingsupdate), waar bedrijven als WD en Samsung hun NAS'en gewoon niet updaten. Zo wordt QNAP eigenlijk bestraft voor het doen van wat goed is.

[Reactie gewijzigd door GertMenkel op 25 juli 2024 23:46]

bartgymnast @GertMenkel • 10 september 2021 17:13

Ik vind het wel jammer dat dit bij QNAP nu als nieuws wordt gebracht (in plaats van een normale beveiligingsupdate), waar bedrijven als WD en Samsung hun NAS'en gewoon niet updaten. Zo wordt QNAP eigenlijk bestraft voor het doen van wat goed is.

Helemaal mee eens, dit zijn gewoon beveilingsupdates die men door qnap regelmatig door gevoerd word

Headshot_NL 10 september 2021 15:36

Hier een tijd geleden een cryptolocker gehad op de QNAP die gewoon netjes up-to-date was i.c.m. met 2FA. Enkel de poort voor de backup stond open.
Uiteindelijk kwam dat door een fout van QNAP door een hard coded wachtwoord mee te geven. Zoiets kan je als gebruiker eigenlijk niet voorkomen.

Het komt helaas vaker voor bij QNAP de laatste tijd.

psdata 10 september 2021 17:07

In basic alle bovengenoemde suggesties zijn ok, maar 1 punt zag ik niet vermeld worden in de discussie
namelijk dat het ging om een addon applicatie (Qusbcam2) niet in de main software.
Ik denk dat een grote groep mensen dit ook niet heeft draaien dus ook niet van toepassing.

De beste securitie optie zijn denk ik de volgende:

Disable standard admin
Voor dagelijks gebruik user1 (normal user) en voor admin tepassingen gebruik user2 met admin right
Forwared een andere port dan de standaard (https/443) (dit kun je regelen op je router port xxxx naar internal 443 op IP.
indien mogelijk gebruik een VPN om naar huis toe te verbinden (dan heb je geen direct internetconnectie)
Installeer niet lukraak iedere addon/applicatie als je het niet gebruikt
Maak een backup van je instellingen
foutieve inlog pogingen in 5 minuten is in een permanente ban
Maak ook zo nu en dan een kopie van al je data naar een externe HD/SSD/locatie

[Reactie gewijzigd door psdata op 25 juli 2024 23:46]

Op dit item kan niet meer gereageerd worden.

QNAP dicht ernstige kwetsbaarheden in software voor nas-systemen

Lees meer

Reacties (54)

Sorteer op:

Weergave: