• De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

Nieuws QNAP waarschuwt NAS-gebruikers voor kritieke kwetsbaarheden

Status
Niet open voor verdere reacties.

Aarie25

NCF Goeroe
Forumleiding
Moderator
Lid geworden
12 apr 2013
Berichten
25.735
Waarderingsscore
1.389
QNAP heeft een waarschuwing afgegeven aan eigenaren van een NAS-systeem voor meerdere kritieke kwetsbaarheden waardoor aanvallers op afstand de apparaten kunnen overnemen. De eerste twee kritieke lekken zijn aanwezig in de NVR Storage Expansion. Via deze software is het mogelijk om beelden van camera- en videosystemen op het NAS-systeem op te slaan. Twee buffer overflows in de software maken het mogelijk voor een aanvaller om willekeurige code uit te voeren, aldus QNAP. Verdere details zijn niet door de fabrikant gegeven.

De derde kritieke kwetsbaarheid is aanwezig in QUSBCam2. Dit is een "kleinschalig surveillancesysteem" waarbij een usb-camera op het NAS-systeem wordt aangesloten. Vervolgens is het mogelijk om op afstand te beelden te bekijken. Ook in deze software is een buffer overflow aanwezig die het uitvoeren van willekeurige code mogelijk maakt. QNAP geeft ook bij deze kwetsbaarheid geen verdere details.

Verder waarschuwt QNAP ook voor twee buffer overflows in QTS, QuTS hero en QuTScloud, drie besturingssystemen voor NAS-apparaten. De impact van deze beveiligingslekken is als "high" beoordeeld, maar maken het wel mogelijk voor een aanvaller om willekeurige code uit te voeren. Voor alle beveiligingslekken zijn er door QNAP updates uitgebracht. Gebruikers wordt aangeraden om de laatste versie van de software te installeren.

Bron Security.nl
 
Bijzonder...

Ik kreeg een e-mail van Qnap hierover. Op de website van Qnap staan de 3 issues vermeldt, inclusief welke apparaten dit betreft.

1. Stack Buffer Overflow Vulnerabilities in QTS, QuTS hero, and QuTScloud - Security Advisory
2. Stack Buffer Overflow Vulnerability in QUSBCam2 - Security Advisory
3. Stack-Based Buffer Overflow Vulnerabilities in NVR Storage Expansion - Security Advisory

Nummer 1: "Affected products: All QNAP NAS"
Nummer 2: "Certain QNAP NAS"
Nummer 3: "Certain QNAP NAS"

Dus alle QNAP nassen dus, behalve die van mij xD
Er is geen update beschikbaar via het panel of handmatig via de website.

Het boeit me verder geen reet want je moet een knappe jongen zijn als je van buitenaf bij mij naar binnen wil.
 
behalve die van mij xD
Welke heb jij dan? Want ik zie dat er zelfs oudere types die nog op 4.3.3.1693 draaien al het eerstgenoemde issue hebben.

Wat ik nu apart vindt is dat mijn model te oud is en ook geen security updates meer zou krijgen sinds december 2020. Echter ik heb in juli dit jaar nog de QTS 4.3.3.1693 build 20210624 als update gekregen.
Het is een TS-212. Ben ik eens heel benieuwd of ik nu toch die nieuwe update ga krijgen als die uit komt, want ik zou feitelijk die juli update van de QTS al niet meer moeten gehad hebben. Dus doordat ze dat wel gedaan hebben, zit ik nu met een QTS die een issue heeft.
Op dit moment via web en NAS ook geen update te vinden voor die van mij.

Ik heb alleen een mail gehad dat ze die QTS Hero5 beta gaan uitbrengen.

Ik heb er een FTP verbinding op open staan maar boeit me verder ook niet, deze NAS wordt gebruikt als 2de backup en rommel- en test NAS.
 
Welke heb jij dan? Want ik zie dat er zelfs oudere types die nog op 4.3.3.1693 draaien al het eerstgenoemde issue hebben.
Een TS-253A. Ik heb een cijfertje omgedraaid toen ik hier aan het typen was, my bad.
Mijn NAS was dus wel kwetsbaar (naja kwetsbaar tis maar hoe zwaar je het wil maken) maar hij is al voorzien van de laatste patch.

Draai nu patch 4.5.4.1741.
 
Ah die is wel EOL maar heeft nog full updates en RMA en zo, dus dat is een veel nieuwer model.
Ik wil het zo zwaar niet maken, maar ik vind het wel een dingetje als ik voor mijn NAS geen update meer zou krijgen, juist vanwege het feit dat ik die foute versie al niet had mogen hebben. Maar ja ach... van de fout op zich lig ik niet echt wakker.

Wel begin ik inmiddels te merken dat ik veel vaker dit soort dingen zie van Qnap NAS systemen dan van Synology of Asustor. Dan begin ik mij af te vragen of Synology en Asustor een stuk veiliger zijn, of dat die gewoon bepaalde mogelijkheden niet hebben die de Qnap wel heeft en daarom vaker security issues heeft. Maar dat lijkt me weer sterk.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan