QNAP waarschuwt klanten voor kwetsbaarheden in NAS-besturingssystemen

Het Taiwanese QNAP Systems waarschuwt zijn klanten voor kritieke kwetsbaarheden in de besturingssystemen van zijn NAS-apparaten. De kwetsbaarheden zijn volgens het bedrijf opgelost en klanten worden geadviseerd om een systeemupdate door te voeren.

QNAP geeft via een mededeling aan dat het om drie kwetsbaarheden gaat. Via een eerste kwetsbaarheid in het authenticatieproces van het QTS-besturingssysteem kunnen kwaadwilligen het authenticatieproces in QTS 5.1 omzeilen en de veiligheid van een NAS-systeem in gevaar brengen. Deze kwetsbaarheid kreeg de naam CVE-2024-21899 mee. Via de twee overige kwetsbaarheden, CVE-2024-21900 en CVE-2024-21901, wordt het mogelijk om commando’s of kwaadaardige code op NAS-systemen uit te voeren of te injecteren.

De kwetsbaarheden bevinden zich in verschillende versies van QNAP-besturingssystemen: QTS 4.5.x, QTS 5.1.x, QuTS hero h4.5.x, QuTS hero h5.1.x, QuTScloud c5.x, myQNAPcloud 1.0.x. Het Taiwanese bedrijf heeft inmiddels software-updates voor de kwetsbaarheden vrijgegeven.

Reacties (84)

loekf2

9 maart 2024 12:27

Vraag me altijd af waarom je een NAS aan internet zou hangen. Neem toch aan dat als je lokaal een NAS hebt draaien achter een router en firewall er niet veel aan de hand kan zijn.

Timo002 @loekf2 • 9 maart 2024 13:08

WebDAV, FTP, fotobackup (van mobiel), HomeAssistant draaien. Allemaal redenen waarom ik mijn MAS (Synology) aan het internet heb hangen.

Caelorum @Timo002 • 9 maart 2024 13:26

Met een firewall+VPN ervoor is het wel een stuk beter te doen. Het hangt dan in ieder geval niet direct meer aan het internet, waar @loekf2 op doelt.

Ik ben het overigens verder eens met @hello123456 dat alsnog alles erachter goed beveiligd + up to date moet zijn.

coolkil @Caelorum • 9 maart 2024 15:45

Ik blijf dit toch altijd een gek argument vinden. Waarom zou een open vpn poort veiliger zijn dan een open http poort? In beide gevallen heb je attack surface

thomas1907 @coolkil • 9 maart 2024 16:36

Omdat je inplaats van 20 poorten, 1 poort open hebt. En inplaats van allerlei verschillende systemen die een poort gebruiken en kwetsbaar kunnen zijn, is het er maar 1.
Ik gebruik zelf Tailscale, dan hoef je geen poorten te openen en werkt perfect met DSM op mn nas

GeroldM

Bugs

@thomas1907 • 10 maart 2024 12:04

"Firewall hole punch", dat is de naam van de technologie waarvan tailscale en soortgelijke oplossingen gebruik maken. Ja, de begruiker opent geen poort in zijn/haar netwerk configuratie. Betekent niet dat er geen poort openstaat. Er wordt dan gebruik gemaakt maakt een server van een 3e partij, waar tijdelijk de nodige netwerkconfiguratie en poorten zijn opgrslagen om anderen toegang te geven tot jouw netwerk. Tailscale maakt voor hole punching graag gebruik van het UDP protocol.

Als de server van deze 3e partij is gecomprimeerd door een 4e partij met nefarische bedoelingen, dan hebben jij/jouw netwerk alsnog een enorm beveiligingsprobleem.

WebDAV is onderdeel van het HTTP protocol. Dat betekent dus dat als poort 80 voor HTTP/poort 443 voor HTTPS openstaat (wat op de meester routers het geval is, anders zou je geen enkele site kunnen bezoeken), je een WebDAV server kan inschakelen. Want ja, elke webserver software NginX, Apache, Caddy, IIS en elke andere webserver sofiware die ik vergeet te noemen ondersteund WebDAV.

Heb je WebDAV geactiveerd, dan host je in principe een soort van GoogleDrive/Onedrive/Dropbox/NextCloud alternatief. En daarvoor hoef je dus niets extras te openen op je router of firewall.

Nu zal die server van de 3e partij niet zo heel snel gecomprimeerd zijn, maar waan je niet veiliger dan dat je werkelijk bent.

VPN is ondertussen ook al een heel oud protocol en heeft zo zijn nukken qua beveiliging. Een goed ingerichtte VPN server is op zich wel veilig te noemen, maar denk niet dat dit protocol zeer diep is uitgespit door de groep nefarische gebruikers en dat er wel degelijk "deukjes" en "kerfjes" in dat protocol zijn ontdekt. En deze zijn echt niet allemaal gerepareerd.

Als je iets veilig wil noemen, koppel het dan op geen enkele manier aan het internet. Letterlijk en figuurlijk. Al het andere is een aanvalsvector, zoals anderen ook al correct hebben aangegeven.

thomas1907 @GeroldM • 10 maart 2024 18:21

Tailscale gebruikt geen 3e partij om jouw data 'door te sturen' naar je eigen PC. Zoals ik het begrijp gebruiken zij NAT (net als in spellen zoals GTA V zodat je kan hosten zonder (zelf) poorten te openen). Mocht je dat niet kunnen, kun je altijd Tailscale op een VPS oid installeren, dan wordt het inderdaad via via geforward. Maar van een 3e partij is geen sprake afaik.

En ik begrijp je voorbeelden van WebDAV niet aangezien alle poorten *naar buiten* open staan ja, daarom kun je websites bezoeken. Dat betekent niet dat alle poorten *naar binnen* open staan en je zelf zo makkelijk een WebDAV server kan hosten zonder iets te doen.
Of misschien begrijp ik je comment verkeerd

FrankHe

@thomas1907 • 11 maart 2024 09:14

Wat ik ervan begrijp is Tailscale de derde partij. Die servers hebben een groot aanvalsoppervlak, ben je als vierde partij eenmaal bij hun infrastructuur binnen dan heb je toegang tot vele honderdduizenden servers. Dit maakt dat het voor een vierde partij zeer de moeite waard om energie te steken in het binnendringen van de systemen van Tailscale.

thomas1907 @FrankHe • 11 maart 2024 10:11

Tailscale servers worden alleen gebruikt om public keys te delen met je servers, alle private keys blijven op je eigen servers en worden nooit gedeeld. Anders kun je altijd nog HeadScale gebruiken, dan kun je die server zelf hosten.
Las toevallig gisteren, net voor dit artikel, wat dingen over tailscale op: https://new.reddit.com/r/..._do_you_think_its_secure/

vrow @coolkil • 9 maart 2024 19:47

Klopt, maar als je een vpn gebruikt en er zit een lek in de vpn-server en iemand kan ongeoorloofd inloggen op het vpn.
Dan hebben ze daarna weliswaar netwerktoegang tot je nas, maar moeten ze daar ook net een lek in kunnen misbruiken.
Nadeel van vpn is vaak weer dat als iemand dan ingelogd is geraakt, ze ook bij je tv, printer en riot-apparaten kunnen. Daar zit vaak geen authenticatie op.
Dus dan moet je eigenlijk alweer gaan werken met aparte vlans of een firewall tussen je vpn en je LAN.
Goeie beveiliging is erg lastig. Zorg ervoor dat je altijd de firmware up-to-date houdt, gebruik liefst alternatieve poort (security through obscurity werkt wel), gebruik sterke wachtwoorden, hernoem het admin-account, gebruik 2FA en zorg voor goede backups met versiebeheer. Meer kun je dan niet doen en dan moet je het er toch gewoon op wagen. En de échte hackers hebben het niet op ons voorzien. Het zijn de scriptkiddies die binnenkomen bij normale mensen. En die scriptkiddies hou je vaak tegen door bovenstaande punten uit te voeren. Hoop ik :-)

Orangelights23 @coolkil • 9 maart 2024 15:47

Alles is altijd een attack surface. Gaat erom dat je risico’s mitigeert

coolkil @Orangelights23 • 9 maart 2024 16:06

Sure maar hier lees je vaak ik heb het achter m’n wireguard vpn of OpenVPN dus het is veilig.

Een nas heeft een usecase voor bestandsdeling. Niet iedereen met wie je wilt delen zit op je eigen netwerk of heeft een vpn profiel voor jou instantie.

Richt je nas in met 2fa eventueel een reverse proxy en een waf dan moet je toch wel een beetje je best doen voor je binnen bent. Als je alle geautomatiseerde meuk ook nog eens buiten de deur wilt houden kies je een alternatieve poort.

OruBLMsFrl @coolkil • 9 maart 2024 20:27

Als je NAS zelf kwetsbaar is via een complexe filesharing webservice, dan gaat een MFA niet meer helpen, dan komt een aanvaller op het service account van die filesharing je NAS binnen. Een tweede laag van eerst wiregaurd vpn server hacken en dan daarachter nog eens een NAS weten te hacken is echt een ordegrootte lastiger als je dat goed inregelt. Als je zo massaal filesharing wilt doen dat VPN niet meer goed te organiseren is, kun je je afvragen of een NAS dan een geschikte oplossing is. Geen enkele NAS leverancier adverteert tenslotte met bulletproof file sharing for all the internet.

coolkil @OruBLMsFrl • 10 maart 2024 01:16

Probleem met een vpn oplossing is dat je (afhankelijk van instellingen) niet alleen de nas maar je volledige netwerk open en bloot legt als je er eenmaal binnen bent.

Grote kans dat er wel ergens Eén vulnerability in je netwerk zit om op verder te bouwen

Cartman!

@coolkil • 9 maart 2024 21:38

Heeft allemaal weinig zin als er een exploit is die overal omheen werkt. In heb dit op Synology gehad en daar is destijds m'n bitcoin wallet gestolen (onbeveiligd ook) waardoor ik 1 hele bitcoin kwijt ben geraakt. Niet zomaar aan internet hangen, wijze les geleerd hier.

Yinchie @Caelorum • 9 maart 2024 15:13

Goede optie is: Tailscale + Tailscale Funnel, alles blijft dan binnen je Tailnet.

thomas1907 @Yinchie • 9 maart 2024 16:41

Ah ik ben te laat zie ik

Tailscale is inderdaad super. Je kunt o.a. ook devices delen (zoals je nas) en met ACL's beheren welke poort dan bereikbaar is voor welke gebruiker etc. Ook HTTPS support is erg fijn met Tailscale. (En nog veel veel meer)

En! Het gratis plan is al (een hele tijd) erg ruim naar mijn mening

[Reactie gewijzigd door thomas1907 op 22 juli 2024 17:10]

Dorkiban @thomas1907 • 9 maart 2024 20:01

Ik had ook Tailscale, maar ben nu over naar Wireguard via mijn Fritzbox. Dan hoef je niets meer te veranderen in de Synology. Het management is ook nog eenvoudiger dan Tailscale (en dat is al een eitje)

[Reactie gewijzigd door Dorkiban op 22 juli 2024 17:10]

Wachten... @Yinchie • 9 maart 2024 18:04

Ik moet me er maar eens in verdiepen, want wat maakt het dan andere dan een goede VPN?

Overigens zou ik nooit meer mijn nas aan het internet hangen. Lekker via VPN of anders niet.

Overigens zit er wel 1 nadeel aan een VPN, je kunt niet meer zomaar even fotos delen met iemand. Diegene moet dan ook VPN hebben

Yinchie @Wachten... • 9 maart 2024 18:10

Zie voor meer informatie:
https://tailscale.com/kb/1223/funnel

Of bekijk Cloudflare Tunnel:
https://www.cloudflare.com/en-gb/products/tunnel/

[Reactie gewijzigd door Yinchie op 22 juli 2024 17:10]

R0GGER @Caelorum • 9 maart 2024 16:57

Een ander goed middel om je NAS te beschermen is deze blocklist: https://mariushosting.com/ip-block-list/
Zelf gebruik ik pfsense en heb ik 'm toegevoegd aan pfBlocker, maar je kunt 'm ook toevoegen aan de blocklist in je Synology NAS.
Deze lijst werkt waarschijnlijk ook om de meeste aanvallen op QNAP systemen tegen te houden.

CPM @R0GGER • 10 maart 2024 19:35

Betaalde Blocklist? Fijn.

R0GGER @CPM • 10 maart 2024 21:11

Ja, is dat een probleem?

William_H @Caelorum • 9 maart 2024 14:57

Aka een reverse proxy

Punkbuster @Timo002 • 9 maart 2024 13:26

Ik hoor alleen maar dingen die ook via een single vpn naar buiten beschikbaar kunnen zijn. Ik zou bijvoorbeeld mijn Home Assistant nooit aan het internet willen hebben.

Timo002 @Punkbuster • 9 maart 2024 15:30

Op mijn iPhone heb ik het probleem dat de VPN regelmatig verbreekt. De build in VPN functionaliteit van iOS heb ik het dan over.

Daarnaast heb ik ook nog gezinsleden die a technisch zijn en er ook gebruik van maken. Daarvoor moet het zo simpel mogelijk zijn en is een VPN toch al te complex.

Punkbuster @Timo002 • 9 maart 2024 15:32

Hier ook iPhone, split tunnel WireGuard 👍 laat mij en familie nooit in de steek. Welk vpn protocol had je geprobeerd.

Ik snap je keuze ook wel hoor, het is gemak tegen over veiligheid.

Timo002 @Punkbuster • 9 maart 2024 16:56

OpenVPN met synology als cliënt. Ik heb wel al mijn poorten dicht van m’n router en ga via cloudflare tunnels naar binnen. Als je het domein weet, dan kun je de synology bereiken.

Lennyz @Timo002 • 9 maart 2024 21:11

Openvpn heb ik ook altijd problemen mee gehad. Wireguard werkt daarentegen altijd goed.

RangedNeedles @Punkbuster • 9 maart 2024 21:59

Welke iOS client gebruik je? Die van Wireguard zelf?

Ik vraag het omdat ik “problemen” had met de officiële terwijl ik dat met bv Passepartout (een 3rd party iOS client) niet heb.

Neocortex-re @Timo002 • 9 maart 2024 21:32

Zowel de VPN implementaties op IOS en Android laten te wensen over. Er zijn geluiden dat het met apps van specifieke VPN aanbieders consistenter zou werken, maar waarom dat zo zou zijn is me niet helder.

ronald136813 @Timo002 • 9 maart 2024 22:18

mee eens , ik heb de laatste firmware al , vorige week boel waarsachuwingen uit mijn QNAP bleek om toegang te gaan tot adminj account en die staat uit , heb een ander admin account
bleek een poort forward in mijn router nog aan te staan , heb een Dream Machine en kan wireguard gebruiken , dus de port forwards er uit gehaald en gebruik wireguard wel als ik zoodig iets op afstand moet doen , dan komt in princiope nooit voor.

Ocin32 @loekf2 • 9 maart 2024 12:37

Ik ken wel wat mensen die een nas juist gebruiken voor toegang tot hun bestanden juist buitenshuis, of bijvoorbeeld voor het draaien van een eigen mediaserver.

Je kunt je afvragen hoe hard heb je deze bestanden nou echt nodig buiten de deur, maar ach, ieder zijn ding.

Persoonlijk zou ik er niet aan beginnen, je neemt toch een klein risico.

SPee @Ocin32 • 9 maart 2024 16:02

Dat doe ik ook. Alleen gebruik ik daarvoor wel een VPN verbinding naar mijn router thuis. Daarvoor is het niet nodig om je NAS direct op internet bereikbaar te maken.

Bliksem B

@Ocin32 • 9 maart 2024 20:38

Deze kwetsbaarheid, zit alleen in qts. Die heeft zijn eigen poort. Dit is af te raden. Anders krijg je dagelijks sowieso 100 inlog pogingen van een bot

.

Als je emby gebruikt of nextcloud, dan gebruik je al een andere poort. Hiermee verdeel je het risico en is niet onveiliger dan hosten elders (al is de Firewall wel beter?).

Jerie

@loekf2 • 9 maart 2024 14:51

Heeft enerzijds met availability te maken, anderzijds clueless network admin en/of teveel standaard services, en tenslotte omdat het naast NAS ook als server dient. Vroeger kocht je een NAS van bijvoorbeeld NetApp met CoW en WAFL en die kon dan alleen NAS (bijv export via NFS). NFS onversleuteld over ethernet heh. TLS doen we nog weinig mee, hoogstens SSH. Je was heel veel geld kwijt aan zo'n NAS, maar de performance en support was er ook naar. Daarnaast had je nog SAN, die kon met Infiniband aansluiten (nog steeds een duur geintje).

Toen consumer hardware zoals SATA ipv PATA / SCSI, eSATA/SAS voor de SAN, en kwam ZFS e.d. en ineens kon je ook zelf een goedkoop, high performance NAS bouwen. Of kant en klaar eentje kopen, veel goedkoper dan bijvoorbeeld NetApp dat leverde. In Taiwan zijn ze daar ook achter gekomen en Synology en QNAP hebben er zelfs een complete business case omheen weten te bouwen.

Inmiddels zijn we in het tijdperk dat je NAS ook allerlei serversoftware kan draaien zoals HTTP(S), CIFS, NFS, SSH, en allerlei zooi nog met Docker.

Maar niet de hele wereld hoeft die services te bereiken. Er is geen enkele logische reden dat iemand in China in zou moeten kunnen loggen op SSH. Laat staan die andere services. Dus zet alles achter een high performance VPN zoals Wireguard en je bent klaar.

[Reactie gewijzigd door Jerie op 22 juli 2024 17:10]

William_H @Jerie • 9 maart 2024 15:01

En vervolgens gebruiken de high performance scriptkiddies een VPN naar NL en komen alsnog aan je voordeur van je NAS.
Niet dat je idee niet goed is, maar het helpt alleen tegen het laaghangend fruit van de hackers. De wat slimmere hacken gewoon via servers in de landen waar het doelwit zit, daar helpen dit soort trucjes niet tegen.

Jerie

@William_H • 9 maart 2024 15:05

Nooit gezegd dat het waterdicht is.

Heb je in ieder geval al minder troep in je logs.

Maar waarom zou je heel Nederland ook toegang geven?

Een jumphost kan ook verstandig zijn. Defense in depth.

William_H @Jerie • 9 maart 2024 15:17

Er is geen één oplossing, die de oplossing biedt, maar verdediging in lagen is denk ik altijd het beste ipv vertrouwen op SPOF's.

Jerie

@William_H • 10 maart 2024 15:09

Bij mijn vorige werknemers wilde men tijdens onboarding m'n IPv4/32 weten voor remote toegang. Natuurlijk houdt dat niet alles tegen. Niets doet dat. Maar het legt de lat wel hoog genoeg om het laaghangende fruit en zelfs een groot deel van de kwalitatief goede hackers buiten te houden.

William_H @Jerie • 11 maart 2024 00:28

Zeker waar. Maar wel onhandig als je bij een Ziggo zit die de hele tijd je IPv4 veranderd.

hello123456 @loekf2 • 9 maart 2024 12:37

Hoewel die oplossing de attack surface aanzienlijk verminderd, als in niet direct te benaderen van buitenaf, het is daarmee ook nog niet opgelost. In het scenario dat jij schetst is het nog altijd mogelijk dat een stuk malware jouw computer infecteert, het netwerk scant en vervolgens vanaf daar jouw NAS benadert. Eenmaal binnen is het een fluitje van een cent om een SSH tunnel op te zetten of een reverse shell om permanente toegang te krijgen of de boel te versleutelen. Dus vanuit dat oogpunt is dit CVE zeker nog relevant.

catserv @loekf2 • 9 maart 2024 12:37

ik weet niet of je jezelf er al eens in verdiept hebt maar een NAS kan veel meer dan alleen wat lokale bestandjes opslaan. het is vaak een volwaardige server

de meesten passen vaak dingen niet aan en laten de poorten op standaard staan.
dus wat je zegt over aan het internet hangen, achter een firewall is leuk maar je zal altijd dingen open moeten zetten om er zelf ook bij te kunnen

die van mij draait ook verschillende diensten,
homeassistant server,
downloaden en uitpakken van bestanden.
videobewaking server en opslag van de camera's

ook is het wel lekker dat je overal ter wereld zelf bij je bestanden/foto's kan

[Reactie gewijzigd door catserv op 22 juli 2024 17:10]

Luchtbakker @loekf2 • 9 maart 2024 13:34

Ik kan genoeg redenen bedenken. Maar het is wel erg afhankelijk van je usercase. Back-up je alleen je pc's naar je nas dan zou ik het zeker afraden. Maar heb je er bijvoorbeeld een surveillance system draaien dan is het wel fijn als je deze op remote kan benaderen. Idem voor bijvoorbeeld een VPN dat je hebt draaien.

Synology doet het in mijn opzicht een heel stuk beter dan Qnap. Veel en duidelijke logs, standaard 2fa, brute force detectie en beveiligd domein via quickconnect.to.

CrocoDuck @loekf2 • 9 maart 2024 14:05

Paar jaar geleden had ik een QNap rechtstreeks aan het internet hangen, onbewust. Na een t-mobile modem update stond upnp aan, en had ik niet gezien, en had mijn qnap lekker handig zelf de poortjes naar het internet open gezet. Ondanks dat ik firmware up-to-date hield, zat er destijds in de backup software een hardcoded password, in de code van qnap.

Die exploit was gebruikt, en 1 schijf van mijn nas (dual bay nas, niet in mirror) waren alle jpg en film bestanden encrypted. met een warning text erbij per folder. Het proces liep nog en door daarvan de log te kunnen pakken heb ik het wachtwoord kunnen achterhalen, en was uiteindelijk de impact 0, behalve wat tijd om het weer te decrypten wat niet op schijf 2 stond. (die 2e schijf was niet gelukt door de malware). Maar denk nu een paar jaar verder dat het scriptkiddy niveau versie van de malware op mijn qnap nu een stuk geavanceerder zal zijn. Het was wel een eye-opener/schrik effect. Heb het nu een stuk beter voor elkaar

Travelan @loekf2 • 9 maart 2024 15:43

Vervanging van Dropbox/OneDrive, Plex, Jellyfin, Navidrome, genoeg redenen om vanuit buiten bij mijn data te willen kunnen.

treris

@loekf2 • 9 maart 2024 16:01

Ik heb zelf meerdere synology's gewoon aan het internet hangen, maar wel allemaal met firewall aan zodat maar vanuit een beperkt aantal landen toegang mogelijk is en alleen de poorten die ik echt gebruik open (videostreaming, offsite backup, bestandssynchronisatie, mailserver, password manager dat soort dingen). Dit icm een blocklist om nog meer ongewenst verkeer te voorkomen.
Een VPN wordt vaak genoemd, maar is in mijn use case niet handig omdat dit niet werkt voor de mailserver (voor zover ik weet) en omdat ik niet de enige gebruiker ben van de NAS. Om op alle devices van alle users VPN clients te gaan instellen en iedereen uit te leggen hoe ze daarmee moeten werken? Nee dank je.
Wel uiteraard ook apart admin account en 2FA.
De NAS is kortgezegd voor mij veel meer dan alleen maar een lokaal device om een backup op te maken van m'n laptop/tablet/telefoon.

Frame164 @loekf2 • 9 maart 2024 16:10

Om bij je data te kunnen als je elders bent? Als op pad ben upload ik mijn foto's 's avonds naar mijn NAS.

devilkin 9 maart 2024 13:19

Ligt het aan mij, of komt QNAP toch wel vaak in het nieuws met stevige kwetsbaarheden?

Kan hetzelfde toch niet zeggen van Synology.

beerse

QNAP

@devilkin • 9 maart 2024 14:39

Dat ligt aan joui. Mogelijk selective attentie of zo iets.
QNAP komt hier met een oplossing van een kwetsbaarheid. Synology en Qnap doen in dat opzicht niet voor elkaar onder.

Ook niet voor het updaten van oudere systemen. Getriggerd door dit bericht zie ik dat mijn qnap419 (van ruim 10 jaar oud) ook een patch/update heeft klaarstaan... QTS 4.3.3.2644 build 20240131
(https://www.qnap.com/nl-n...419p%2B&category=firmware)

[Reactie gewijzigd door beerse op 22 juli 2024 17:10]

William_H @beerse • 9 maart 2024 15:02

In dat geval vraag ik mij zelfs af welke beter is in support, QNAP of Synology?
Want volgens mij, maar dat is even een aanname, doet die minder lang support dan QNAP.

beerse

QNAP

@William_H • 9 maart 2024 16:41

Eerlijk is eerlijk, support, als in ondersteuning bij problemen, heb ik nog nooit nodig gehad. Er zijn in het verleden wel goede berichten geweest van gebruikers waarbij support op afstand heel veel heeft kunnen doen en ook zaken gered heeft.

Wel weet ik dat qnap ooit zelf een probleem heeft gehad en toen de broncode voor de nas-systemen kwijt is geraakt. Het heeft daarna even langer geduurd maar uiteindelijk komen er tegenwoordig nog steeds updates ook voor mijn oude nas.

Ook de documentatie en meewerken aan add-on en eigen software die op deze systemen kan en mag draaien gaat hier goed. Er is een redelijke 'winkel' voor deze pakketten al moet ik zeggen dat mijn nas daar voor veel pakketten niet meer wordt ondersteund. Zoals in veel hardware is er een wisseling geweest van 32 naar 64 bits en er is onderscheid tussen cpu-architecturen. Dat is een keuze bij de aankoop.

Tegenwoordig zou ik voor een nas zowel synology als qnap op de shortlist zetten. Qua hardware kwaliteit, bouw kwaliteit en software onderhoud zijn ze zeker vergelijkbaar. Als ik ze zakelijk zou inzetten zou ik ze beide naast elkaar gebruiken.

phubert

QNAP

@beerse • 9 maart 2024 21:58

Qua hardware kwaliteit, bouw kwaliteit en software onderhoud zijn ze zeker vergelijkbaar. Als ik ze zakelijk zou inzetten zou ik ze beide naast elkaar gebruiken.

QNAP is al jaren bekend sterker in hardware dan Synology, al is dit relatief aangezien men zich veelal afvraagt waarom de CPU en chipset meer ondersteunen maar er enkel een x4 PCIe slot in de vele modellen zit; slechts voorbeeld.

Met mijn dagelijkse ervaring zou ik ze absoluut niet naast elkaar gebruiken. Het enige waarvoor ik QNAP nog inzet is QVR Pro, geïsoleerd op eigen VLAN en een kruisje slaan bij iedere update dat de NAS overeind blijft.

bilbob @beerse • 9 maart 2024 17:04

zelfde hier voor mijn oude vertrouwde TS410. Ze blijven maar updates maken en dat vind ik geweldig goed van ze.

devilkin @beerse • 9 maart 2024 18:00

Ik heb geen van beide systemen in gebruik - maar het viel me gewoon op.

Ik hoor/lees vaker problemen / ransomware aanvallen op QNAP devices dan op Synology devices.

(je opmerking van selectief zijn zal ik maar even parkeren, nergens voor nodig. Gewoon zeggen "nee" is ruim voldoende)

(Zelf heb ik 2j een syno gehad, maar na hardware problemen die dan het volledige volume hebben omzeep gereden is mijn vertrouwen in niet open systeem zwaar gezakt. Dus draai ik een distributie met ZFS op - iets waar ik zeker van ben dat ik m'n data kan recupereren)

[Reactie gewijzigd door devilkin op 22 juli 2024 17:10]

Gunneh @beerse • 9 maart 2024 19:24

Werk in cyberbeveiliging en in de laatste 2-3 jaar is Qnap de enige waarvan mijn klanten last hebben ondervonden, meestal in de vorm van ransomware

Niek H. @beerse • 9 maart 2024 22:20

Nou ben ik zelf geen security expert, maar ik lees veel vaker kwetsbaarheden van QNAP dan Synology. Ook hoor ik in de wandelgangen van mijn collega's, waaronder 'security officers' (voor hoeverre een titel waard is) dat ze echt een pleuris hekel hebben aan QNAP en dat die zo lek zijn als een mandje. Zij gebruiken veel liever Synology.

Ik vind de Synology software persoonlijk fijner en blijf daarom privé deze ook gebruiken, maar ik zou ook om de bovengenoemde reden geen fijn gevoel hebben bij het gebruik van een QNAP.

Jerie

@devilkin • 9 maart 2024 15:07

Er zijn bedrijven die komen nooit in het nieuws, maar hun producten zijn zo lek als een mandje (voorbeeld onderaan.) Kun je geen conclusies aan verbinden.

Het betreft deze CVEs:

CVE-2024-21899: If exploited, the improper authentication vulnerability could allow users to compromise the security of the system via a network.
CVE-2024-21900: If exploited, the injection vulnerability could allow authenticated users to execute commands via a network.
CVE-2024-21901: If exploited, the SQL injection vulnerability could allow authenticated administrators to inject malicious code via a network.

Ik heb enkel de eerste bekeken: nog veel te weinig details. Zal later nog meer over beschikbaar worden. Als Synology er ook last van heeft, kun je er donder op zeggen dat ook zij zijn gecontacteerd. Vooralsnog geen enkele aanwijzingen voor. Synology heeft ook allerlei standaard services en standaard software en komt ook regelmatig met software updates met security fixes. Net zoals Debian en Ubuntu en Arch en Fedora enz enz enz.

Ze moeten tijdig zijn en het moet te updaten zijn.

Voorbeeld: Er zijn TP-Link APs die nog steeds kwetsbaar zijn voor KRACK. Heb ze er destijds op gewezen. Ze zouden het oplossen. Nooit iets van gehoord. Dingen liggen bij de Aktion.

[Reactie gewijzigd door Jerie op 22 juli 2024 17:10]

helldogbe @devilkin • 9 maart 2024 19:09

Subjectief is het zeker zo. Enkele maanden geleden de studie gemaakt voor de opvolger van m'n Synology en toen waren de verhalen over ransomware, povere software maar evengoed hardware problemen bij de concurrenten niet te tellen.

Nu een nieuwe Synology maar daarvoor betaal je wel een prijs in de vorm van inferieure hardware. Geen 2.5GbE poorten, geen (non-Synology) Nvme SSD's als storage, tragere processor, duurder... Maar ik kan wel op beide oren slapen met de security zoals hij nu ingesteld staat.

Frame164 @devilkin • 9 maart 2024 16:12

Qnap is 1 van grootste op hun gebied, en dan kom je in het nieuws. Als je jouw redenatie omdraait is een goedkoop Aziatisch product van de action superveilig want je leest nooit iets over vulnerabilities in die rommel (wel in het algemeen maar nooit over een specifiek merk en product).

Cergorach

Beveiliging en antivirus

9 maart 2024 12:25

Als je naar de bron kijkt is de oudste kwetsbare versie 4.5

QTS 4.5.4.2627 build 20231225 is van 2024-01-04.
QTS 5.1.3.2578 build 20231110 is van 2023-11-15.

CVS meldingen zijn van gister en er is meteen een patch beschikbaar.

Dat ziet er netjes uit, de vraag is natuurlijk, sinds wanneer wisten ze exact dat dit er in zat.

Jerie

@Cergorach • 9 maart 2024 14:39

CVE meldingen worden van te voren assigned met nummers. Op het moment dat ze uit worden gebracht, behoort de patch beschikbaar zijn. In de tussentijd geldt responsible disclosure, ofwel coordinated disclosure waarbij vinder van het lek en verantwoordelijke samenwerken om het probleem maatschappelijk gezien zo veilig mogelijk op te lossen. Voorbeelden zijn: de comms met het bedrijf moeten veilig verlopen, en de vinder van de kwetsbaarheid mag er niet met derden over praten.

M.i. kun je er donder op zeggen dat bijvoorbeeld NSA wel een mannetje of vrouwtje bij zo'n CVE dienst (= trusted third party) heeft zitten. Dat is niet erg, want NSA in de huidige geopolitiek is de NSA onze minst ernstige vijand cq. onze beste vriend.

En het Chinese spul kent vaak niet eens firmware updates. We mogen blij zijn dat Taiwan dat in ieder geval nog wel soort van probeert. Althans, sommige merken.

[Reactie gewijzigd door Jerie op 22 juli 2024 17:10]

mjl @Cergorach • 9 maart 2024 21:10

De vulnerabilities zijn pas gepubliceerd ver nadat ze al gepatcht zijn zoals je zelf aangeeft. Goed zaak om je NAS up to date te houden.

Remc0_ 9 maart 2024 12:38

Nou dat heeft een tijd geduurd sinds de vorige keer, normaal is het met QNAP wel een redelijk drama. https://www.cvedetails.co...vendor_id-10080/Qnap.html

Ik zou ze in ieder geval nooit zomaar aan het internet hangen.

William_H @Remc0_ • 9 maart 2024 15:04

Zoals hierboven al uitgelegd, dat hoeft echt niet uit te maken om je NAS te laten hacken

mark184 9 maart 2024 12:10

Hoe staat het met Synology systemen?

MeNTaL_TO @mark184 • 9 maart 2024 12:12

Waarom zou Synolgoy deze kwetsbaarbeheden ook hebben? Alleen omdat beiden NAS-sen maken?
Ze hebben totaal verschillende operating systems.

latka @MeNTaL_TO • 9 maart 2024 12:35

Uh, nou dat valt reuze mee... Het is allemaal linux met een standaard userland en daarover een webui. Filesharing: allemaal samba. Raid? Allemaal mdraid met lvm. Ssl? Openssl etc. etc.

lenwar

Beveiliging en antivirus

@latka • 9 maart 2024 12:54

Klopt, maar dat is alleen de onderliggende technische laag. Er is natuurlijk ook een hele dikke management laag, met APIs, enz.

En als ik vluchtig naar de CVEs kijk, betreft het hier de QNAP-specifieke laag.

Geven QNAP en Synology ook CVE’s uit over hun gebruikte componenten? Het is toch niet zo dat mdraid, OpenSSL, enz. los kunt updaten?

Dat is bij hen toch toch gewoon een onderdeel van ‘hun OS’?

Edit: autocorrupt.

[Reactie gewijzigd door lenwar op 22 juli 2024 17:10]

Verwijderd @lenwar • 9 maart 2024 14:25

Geven QNAP en Synology ook CVE’s uit over hun gebruikte componenten? Het is toch niet zo dat mdraid, OpenSSL, enz. los kunt updaten?

Waarom niet? Ze kunnen zelf mdraid/mdadm/openssl etc. compilen en hier zelf de nodige patches voor maken. De ene OpenSSL is de andere niet.

lenwar

Beveiliging en antivirus

@Verwijderd • 9 maart 2024 14:29

Het kan wel denk ik, maar ze leveren het toch alleen als onderdeel van het geheel? Of kun je ook alleen ‘hun’ OpenSSL package downloaden? (Ik zou het oprecht niet weten)

Als je kijkt naar de CVE’s die ze hebben uitgegeven, gaat het ook over hun ‘OS’ en niet specifieke packages.

latka @lenwar • 9 maart 2024 19:52

Ze kunnen onderdelen van hun systeem updaten, dus het is niet altijd een fullblown install. De package managers die ze gebruiken zijn echter zeer rudimentair en beperkt t.o.v. Debian of Redhat.

Punkbuster @mark184 • 9 maart 2024 12:11

Qnap, gaat het over. Niks te maken met synology

Kiswum @mark184 • 10 maart 2024 11:56

Op zich een goede vraag. Bij Qnap worden relatief veel kwetsbaarheden gevonden in tegen stelling tot Synology. Dit is op Tweakers 9 vs 2.

Dit kan ermee te maken hebben dat:

Hackers zich wellicht meer op Qnap focussen en dat kwetsbaarheden daardoor eerder aan het licht komen, ondanks het gevoel dat Synology een grotere Taiwanese NAS fabrikant is.
Synology berichten worden veel minder gedeeld (op Tweakers).
Synology heeft de beveiliging beter op orde op hardware/software gebied.
Synology vereist wellicht van de gebruikers dat een firmware update sneller wordt geïnstalleerd, waardoor een gepatchte lek (van enkele maanden daarvoor), niet misbruikt kan worden.

Hier de berichten sinds 2021:
Qnap:

Synology:

nieuws: Synology waarschuwt voor malware die nas-apparaten infecteert

Beide:

nieuws: Synology en QNAP waarschuwen voor kritieke Netatalk-kwetsbaarheden

CaptainKansloos @Kiswum • 10 maart 2024 22:24

Late to the party, maar toch. De betreffende lekken zijn in de OS update van bv QTS 5.1.x in november 2023 al gefixed. Inmiddels is mijn TS-230 NASje via auto updates alweer 3 versies verder.

Ze komen mss vaker 'in het nieuws', maar er wordt wel actief gepatched.

maevian @Kiswum • 10 maart 2024 22:58

Synology is grotere speler in huis tuin en keuken NAS of kleinere bedrijven. QNAP ga je vaker vinden het rack van grotere bedrijven. Vandaar ook een meer interessante target.

huubhuub @mark184 • 9 maart 2024 12:12

hetzelfde als Asustor... een totaal ander merk dus zonder tegenbericht geen probleem.

phubert

QNAP

@huubhuub • 9 maart 2024 22:01

Ieder systeem welke je aan het internet hangt neemt een potentieel gevaar mee voor kwetsbaarheden, zelfs de bekende Debian/Ubuntu/Arch Linux; echter patchen deze vele malen makkelijker dan een QNAP of Synology omdat het sausje QNAP/Synology ook moet blijven werken; welke zorgt dat de gebruiker ermee kan werken.

mjl 9 maart 2024 21:08

In de update van November al gefixt. Dus ze zijn erg laat met het melden hiervan. Ik vraag me dan af: werd dit voor de update van November al misbruikt?
En indien pas daarna: dan is er niet veel aan de hand.

Of je moet je NAS (en andere firmware en software) niet up to date houden ….

phubert

QNAP

9 maart 2024 21:51

QNAP heeft dit compleet aan haar eigen lakse beleid te wijten. Ik bericht QNAP al jaren (te vergeefs) over de ronduit belabberde firewall QuFirewall welke een compleet lachertje is en meer decoratie dan effectief. Dagelijks werk ik met deze machines en kan niet anders zeggen dat de hardware vs Synology (relatief en op papier) beter is maar het besturingsysteem QTS of QuTS Hero een ongekende aanfluiting. QTS 5.x is ruim na jaar van publicatie nog niet stabiel, ze blijven maar features toevoegen zonder eerst de bestaande bugs op te lossen.

De veiligheid is een van de dingen bij QNAP welke ongekend te wensen over laat. Als het gaat om gebruikersgemak dan loopt deze naar zeggen nog "in het stenen tijdperk". Nadrukkelijk advies deze machines absoluut nooit toegankelijk te maken vanaf internet dan ben je aan al het 'ranzigs' overgeleverd wat het internet te bieden heeft. Zelfs met het nieuwste besturingsysteem QuTS Hero welke met veel marketing wordt aangeduid als "het ultieme NAS besturingsysteem" is gewoonweg niet beter dan QTS. QNAP doet zich voor een bedrijf te zijn welke op "Enterprise" niveau hardware levert, wellicht, maar in mijn optiek kunnen ze beter investeren in degelijke software en app's dan vrijwel maandelijks nieuwe modellen op de markt 'gooien'. Bedrijven en mss wel pro-consumers omarmen een "all flash/SSD-NAS" maar zonder gedegen besturingsysteem ben je gewoon weg. Of je bij QNAP een budget model koopt of een dure rackmount van (tien)duizenden euro's; alles draait op QTS / QuTS Hero.

Sorry voor de harde bewoording maar QNAP doet zich voorkomen als een exclusieve Ferrari (Hardware) met het interieur van een Trabant (software).

(edit) Sinds QTS 5.x heb ik nog geen losse beveiliging update gezien aangezien deze los geïnstalleerd zou kunnen worden. Dit blijf ik een ongekend minpunt vinden aangezien je altijd je NAS moet herstarten, je schijven weer een reboot krijgen en ook weer alles moet ontgrendelen. QNAP was helder dat vanaf 5.x updates los naar wens van de gebruiker toegepast konden worden. Helaas, niet dus. Daarnaast erger ik me groen en geel aan het feit dat QTS blijft zeuren over het verbinden met de QuCloud (of hoe die dienst ook heet), ik ben eigenaar van NAS, ik wil kunnen bepalen wat ik ermee doe en niet QNAP.

[Reactie gewijzigd door phubert op 22 juli 2024 17:10]

Dutchinator 9 maart 2024 12:25

Voor Synology : https://nvd.nist.gov/vuln...all&isCpeNameSearch=false

Roel1966

9 maart 2024 21:12

Dit liet mij eraan denken dat ik even vergeten was om mijn Synology NAS weer eens te checken op updates dus meteen even gedaan. Nu staan er verder op mijn NAS geen belangrijke backups omdat ik mijn NAS puur voor multimedia gebruik. Belangrijke backups zet ik nog altijd ouderwets op een externe harddisk die verder daarna afgekoppeld word.

joost00719 10 maart 2024 23:26

Ik draai zelf Truenas Scale, en ben dus zelf verantwoordelijk om het systeem asap te updaten. Niet dat dit altijd gebeurd.
Ik vraag me alleen af of dit soort exploits ook een groot risico zijn voor de mensen die hun NAS in hun netwerk hebben hangen, maar voor de rest de NAS enkel intern kunnen benaderen (of via VPN).

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (84)

Sorteer op:

Weergave: