QNAP: Zwangs-Update gegen Ransomware DeadBolt
Wir berichteten darüber: Seit einiger Zeit warnt QNAP, Hersteller von NAS-Systemen, seine Nutzer. Unter Umständen sind ältere Versionen der NAS-Software, die von außerhalb des eigenen Netzwerkes erreichbar sind, anfällig für Attacken. Gelingt es Angreifern, auf das NAS zuzugreifen, verschlüsseln sie Daten und fordern Lösegeld. Derzeit treibt die Ransomware DeadBolt ihr Unwesen und es gibt zahlreiche Betroffene in den QNAP-Foren, die Dunkelziffer dürfte höher liegen.
QNAP hat nicht nur Warnungen ausgesprochen, sondern „zwingt“ Nutzer zu ihrem Glück. Da sich vermutlich viele nicht dauerhaft auf der NAS-Oberfläche herumtreiben, haben sie vielleicht auch nicht den Warnhinweis gesehen, den QNAP dort ausspielt. Dort ist auch zu lesen, dass „QTS/QuTS hero bald die empfohlene Versionsaktualisierung aktivieren wird, um das NAS vor DeadBolt zu schützen“. Bedeutet: Zwangs-Update, welches u. a. bei Reddit kontrovers diskutiert wird.
Vor ein paar Versionen (mit QTS 4.5.3.1652 Build 20210428) hatte QNAP die neue Option eingeführt, empfohlene Updates automatisch zu installieren, wer dieses allerdings deaktiviert hat, wird dennoch derzeit mit dem Notfall-Update versorgt, bzw. sollte es schon sein. Sprich: QNAP spielt ein Update aus, obwohl sich der Kunde dagegen entschieden hat. In Produktivumgebungen kann so etwas natürlich Gift sein, wenn der Kunde nicht mitbekommt, wenn ein Update eingespielt wird – und hinterher irgendetwas nicht funktioniert.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Produktivumgebungen sollten keinesfalls Systeme nutzen mit bekannten, ausnutzbaren Sicherheitslücken. Admins mit Updateangst sind eine Pest, man hat Notfallpläne falls mal was nicht funktioniert, wie es funktionieren sollte. Sonst stimmt was nicht mit der Produktivumgebung. Aber ungepatcht rumzufrickeln ist keine Option.
Also hier wäre es ziemliches Gift, wenn das QNAP NAS einfach so ein Update machen würde, da dort lauter VM für einen ESXI Server liegen, die zur Zeit laufen.
Wenn das NAS einfach so ausgeschaltet wird, werden die hart abgeschaltet. Das ist nicht unbedingt schön!
Sind VMs an sich nicht schon Bastellösungen?
Seit wann sind VM Bastellösungen?
Wenn man eine Kundenanlage zum Test aufbauen möchte, ist es wesentlich einfacher das in z.B. fünf VM zu packen als fünf physikalische Rechner dorthin zu stellen. Und eine Woche später muß man etwas für einen anderen Kunden mit drei Rechnern erledigen und das austesten.
VMs auf einer QNAP sind Bastellösungen, ja. Normalerweise hat man die auf einem Storage-System liegen, das nur das ist: Storage. Da passen dann auch Performance, Backups, Snapshots usw., man muss keine Angst vor irgendwelchem Firmware-Theater haben. Sowas kauft man in der Regel auch mit entsprechendem Supportvertrag (kostet bei ordentlichen Systemen nicht viel), so dass ein evtl tatsächlich irgendwann nötiges Firmwareupdate vom Servicetechniker durchgeführt wird. Da kann man als Admin viel entspannter leben.
Es gab und gibt nicht für alle aktuellen Systeme ein Update. Und v.a. auch kein Fix nur für das Problem über das QNAP keine Infos herausgibt sondern nur ein Major Upgrade, von dem QNAP selbst vor Fehlern warnt.
Dazu sind Leute, die bezahlt haben um ihre Daten zu entschlüsseln, jetzt doppelt gef…t. Denn das Update löscht die Ransomware und Entschlüsselung geht nicht mehr.
Wie ich immer gesagt habe. Fenster auf QNAP aus dem Fenster und Synology kaufen. Problem gelöst.
Kann ich das offene Fenster dann wieder schließen?
Würde ich schon machen, ist kalt draußen
Ja, Synology scheint da bisher besser da zu stehen, aber man muss sich auch klar machen, dass ein NAS nur ein NAS ist, kein richtiger Server, kein richtiges Storage, sondern ein NAS – auch bei Synology. Und ja, ich habe auch schon VMs auf solche NAS-Kisten geschoben, aber das macht man nicht, wenn es um wichtige Systeme geht, aka „Produktiv-Umgebungen“.
Bei Reddit konnte man lesen, dass Systeme von 4.5.x auf 5.x aktualisiert wurden und das geht einfach nicht.
Wenn man überhaupt ansatzweise auf den Gedanken kommt, in Systeme einzugreifen, die einem nicht gehören, dann ausschließlich um die eine Sicherheitslücke zu beheben, alle anderen Koponenten müssen unangetastet blieben.
Ich bin jetzt zwar nicht betroffen, da ich die aktuelle Version einsetze, aber das hier hat Backdoor-Charakter. Wer garantiert, dass die hier eingesetzte Technik nicht verwendet werden kann, um eine kompromitierte Firmware in Millionen von Systeme einzuspielen?
Es scheint leider so, das die Firma QNAP die Systeme einfach nicht in den Griff bekommt. Frickelei und Bastellösung sind die Worte die das System am besten beschreiben.
Ich sehe regelmäßig nach Updates und bin eigentlich mit einigen Tagen Verzug, auf dem aktuellen Stand. Trotzdem zieht QNAP es vor mich mit ‚Hinweisen‘ zu nerven. Zum Glück, habe ich keins der vielen Geräte bei QNAP angemeldet, da würde ich womöglich täglich ‚Sicherheitshinweise‘ bekommen. Übler noch als Windoof!
Aber die HW ist da und muß wohl bis zum Austausch benutzt werden.
Hatte mein QNAP auf 5.0 aktualisiert und was ist passiert? Alle Knöpfe inklusive Ein/Aus waren nicht mehr funktional. Nur noch Wake over LAN hat funktioniert. So etwas geht einfach überhaupt nicht. Die Qualität der Updates ist unter aller Sau. Der Support wollte mich zuerst überreden die Hardware auf meine Kosten reparieren zu lassen. Erst ein Downgrade hat den Support überzeugt, dass es ihr eigener Fehler ist. Der Downgrade ist übrigens nicht so einfach möglich und man muss zustimmen Hard- und Softwaredefekte auf sei eigenes Risiko laufen zu lassen. Mittlerweile läuft die 5.xy wieder mit Tasten. Aber mein Vertrauen ist hinüber. Läuft nur lokal und Updates mache ich jetzt alle paar Monate vor Vorsicht