17. Januar 2017 |

Sicherheitsmängel in NAS-Firmware: Nutzer setzen sich massiver Gefahren aus

F-Secure Labs findet Sicherheitslücken im NAS-Gerät von QNAP Systems Inc., wodurch Angreifer Zugriff auf sensible Daten und Passwörter gelangen oder Befehle per Remote ausführen können.

Das F-Secure Lab hat drei Sicherheitslücken in einem NAS-Gerät (Network Attached Storage) von QNAP Systems Inc. entdeckt. Die finnische Cybersicherheitsfirma warnt davor, dass Angreifer diese Schwachstellen ausnutzen können, um die Kontrolle über diese Geräte zu erlangen. Die Ergebnisse könnten Millionen von Geräten betreffen, die derzeit in Gebrauch sind. Der Vorfall setzt eine besorgniserregende Tendenz zu immer mehr unsicheren Produkte fort, wodurch die Nutzer zunehmend Online-Bedrohungen ausgesetzt sind.

Die Forscher fanden die Lücken bei einer Untersuchung des NAS-Geräts TVS-663 von QNAP. Die Untersuchung ergab, dass Angreifer die Schwachstellen im Firmware-Update-Prozess des Geräts nutzen könnten, um die administrative Kontrolle darüber zu erlangen. Dieser Grad der Kontrolle würde ihnen die gleichen Rechte geben wie legitimen Administratoren. Die Angreifer könnten dadurch unbehelligt Malware installieren, auf Inhalte und Daten zugreifen, Passwörter stehlen und sogar Befehle per Remote ausführen.

Harry Sintonen, Senior Security Consultant bei F-Secure, entwickelte einen Proof-of-Concept-Ansatz, um zu bestätigen, dass diese Schwachstellen von Angreifern ausgenutzt werden könnten. „Viele dieser Arten von Schwachstellen sind für sich allein nicht gefährlich. Angreifer, die in der Lage sind, sie zusammenzubringen, können jedoch eine massive Gefahr herbeiführen“, sagte Sintonen. „Erfolgreiche Hacker verstehen, dass auch kleine Sicherheitslücken – mit dem richtigen Know-how – große Chancen bieten.“

Der Proof-of-Concept von Sintonen startet, wenn das Gerät unverschlüsselte Anfragen für Firmware-Updates an das Unternehmen zurücksendet. Die mangelnde Verschlüsselung ermöglicht es potenziellen Angreifern, die Antwort auf diese Anfrage abzufangen und zu modifizieren. Sintonen nutzte diese Schwäche aus, um einen als Firmware-Update getarnten Exploit in das Gerät einzuschleusen. Das getarnte Firmware-Update trickste das Gerät aus, so dass es automatisch versuchte, die vermeintliche Firmware zu installieren. Während das getarnte Update nie tatsächlich installiert wird, nutzt der Exploit einen Fehler im Prozess, um das System vollständig zu kompromittieren.

Sintonen zufolge, ist das Stehlen oder Ändern von Daten für einen Angreifer, der in der Lage ist, diese Schwachstellen so auszunutzen, sehr einfach. „Es ist nur erforderlich, dem Gerät zu sagen, dass eine neuere Version der Firmware bereitsteht. Da die Update-Anforderung ohne Verschlüsselung erfolgt, ist dies nicht sehr schwer. Danach kann der Angreifer im Grunde alles tun, was er will.“

Während Sintonen seine Untersuchung auf das QNAP TVS-663 beschränkte, vermutet er, dass Modelle, die dieselbe Firmware verwenden, dieselben Probleme aufweisen könnten. Auf dieser Grundlage schätzt Sintonen, dass über 1,4 Millionen Geräte anfällig sein könnten, wobei die Zahl sogar viel höher sein könnte. „Wir haben Firmware-Versionen untersucht, die derzeit verwendet werden. Aber da viele Leute ihre Firmware nie aktualisieren, könnte die tatsächliche Zahl viel höher sein, vielleicht mehrere Millionen“, so Sintonen.

Hinweise für betroffene Nutzer

F-Secure hat QNAP im Februar 2016 über diese Probleme informiert. Bislang ist F-Secure Labs nicht bekannt, ob QNAP die Probleme behoben hat. Ohne einen Patch der Firma gibt es keine Möglichkeit, die betroffenen Geräte dauerhaft in Ordnung zu bringen.

Janne Kauhanen, Experte für Cybersicherheit bei F-Secure, sieht jedoch einen Silberstreif am Horizont. „Probleme treten bei unglaublich vielen Internet-angebundenen Geräten auf, so dass wir ständig Produkte kaufen, die diese Sicherheitsprobleme aufweisen. Aber in diesem Fall müssen Angreifer zuerst zwischen Update-Server und Endbenutzer ansetzen, und dieser zusätzliche Schritt ist genug Arbeit, um viele opportunistische oder gering qualifizierte Angreifer zu entmutigen“, sagte Kauhanen. „Wir haben jedoch Fälle gesehen, in denen motivierte Angreifer ähnliche Sicherheitsprobleme ausgenutzt haben für eine vorbereitende Aufklärung einer Phishing-Kampagne oder um ihre Präsenz in Netzwerken zu verbergen, so dass sie durchaus noch Schaden anrichten könnten.“

Es gibt Möglichkeiten, wie sich Nutzer schützen können, während sie auf eine dauerhafte Behebung von Herstellerseite aus warten. Wer den QNAP TVS-663 oder andere Geräte mit derselben Firmware (QTS-Firmware 4.2 oder später) einsetzt, sollte die automatische Überprüfung der Firmware-Updates deaktivieren und die Überprüfung manuell mit gesicherten Quellen durchführen, bis das Problem behoben ist. Kauhanen empfiehlt diese temporären Schutzmaßnahmen allen Nutzern, die ein betroffenes Gerät für den Umgang mit sensiblen Daten nutzen.

Der Hersteller und die Behörden wurden bereits vor der Veröffentlichung dieser Sicherheitsanfälligkeit darauf aufmerksam gemacht.

Aktuelle Pressemitteilungen

17. Mai 2018

F-Secure verpackt das Beste aus Mensch und Maschine in einer Security-Lösung

F-Secure hat eine neue ‚Managed Detection & Response‘-Lösung auf den Markt gebracht, die branchenführende Sicherheitsexpertise mit den neuesten Technologien verbindet und Unternehmen hilft, dateilose Angriffe, Sicherheitslücken bei Zugriffsrechten und weitere moderne Angriffsmethoden zu erkennen.

04. Mai 2018

Der ‚Goldrausch‘ bei Ransomware scheint beendet, aber die Gefahr bleibt

Eine neue Studie von F-Secure zeigt, dass die Anzahl der Angriffe mit Ransomware durch WannaCry im Jahr 2017 förmlich explodiert ist. Gleichzeitig deutet ein Abnehmen des Einsatzes anderer Arten von Ransomware darauf hin, dass es einen potenziellen Wandel in der Nutzung von Ransomware durch Cyberkriminelle gibt.

25. April 2018

Schwachstelle: Millionen Hotelzimmer lassen sich hacken

Schlüsselkarten internationaler Hotelketten und Hotels können gehackt werden – damit steht der Zugang zu jedem Zimmer im Gebäude offen. Diese Entdeckung machten Forscher von F-Secure, dem finnischen Anbieter von Cyber Security- Lösungen.

14. März 2018

Neuer Dienst stoppt globale Cyber-Attacken gemeinsam mit Channel-Partnern

Mit einem neuen Angebot richtet sich F-Secure an Channel-Partner, die ihre Kunden effektiv gegen gezielte digitale Attacken schützen und so neue Geschäftsbereiche finden wollen.

%d Bloggern gefällt das: