QNAP: Zwei Schwachstellen, Nutzer sollten Update einspielen
Mittlerweile setzen viele Anwender einen Netzwerkspeicher ein. Schaut man sich bei den Modellen mit vielen Funktionen um, dann landet man schnell bei Synology und natürlich auch QNAP. Letztgenanntes Unternehmen weist aktuell darauf hin, dass man doch bitte schauen sollte, dass auch das aktuelle Update der System-Software, die heißt QTS, eingespielt ist und Anwendungen aktuell sind.
Man habe Schwachstellen (CVE-2020-2490 & CVE-2020-2492) in QTS gefunden, bzw. sei auf diese aufmerksam gemacht worden. Wenn diese beiden Schwachstellen ausgenutzt werden, könnten entfernte Angreifer beliebige Befehle ausführen. Wie genau ein solches Szenario aussieht, wurde nicht beschrieben. Vermutlich dürfte nichts passieren, wenn das NAS nicht von außerhalb des eigenen Netzes erreichbar ist.
QNAP hat diese Probleme bereits in QTS 4.4.3.1421 Build 20200907 und späteren Versionen behoben. Um das Gerät zu sichern und Daten vor Angriffen und unbefugtem Zugriff zu schützen, empfehle man dringend, QTS und alle installierten Anwendungen auf die neuesten Versionen zu aktualisieren, um von den Schwachstellenbehebungen zu profitieren.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
ach, mal wieder?
läuft ja bei qnap. ich habe „leider“ auch eine gekauft, würde ich nicht mehr tun. Docker ist bei Version 17.03 inzwischen gibt es 19.03 und QNAP macht keine anstalten, ein update zu liefern. Selbst updaten geht leider nicht, und der Support kann es nur an die Entwickler nach Taiwan weitergeben… dazu noch die ständigen Sicherheitslücken, klasse Gerät!
https://stadt-bremerhaven.de/qnap-qsnatch-malware-noch-auf-ueber-60-000-geraeten-aktiv/
https://stadt-bremerhaven.de/qnap-sicherheits-updates-gegen-zerologon-schwachstelle/
Ich stimme voll und ganz zu, mir geht die ständige Updaterei auch langsam auf den Zeiger. Ich habe geschäftlich mehrere im Einsatz und kann im Prinzip jede Woche wegen irgendwelcher Sicherheitslöcher alle einmal neu starten.
Pack Debian drauf, hab ich auch gemacht.
Die extrem veralteten SW-Versionen bei QNap waren für mich nicht mehr akzeptabel. Man kann ja diskutieren, aber die Faustregel ist:“Wenn deine SW-Version älter ist als in Debian Stable, solltest du über ein Update nachdenken“.
Dazu kamen die seit QTS Version immer öfter „strangen“ Designentscheidungen nach dem Motto „Irgendwas rein frickeln damit man mit Feature werben kann“. QTS ist mittlerweise so dermaßen bloated, dass mich die Sicherheitslücken nicht wundern. Die Komplexität beherscht keiner. Wenn ich dran denke dass QNap auch im Businessbereich Produkte anbietet, gruselt es mich nur noch.
Btw, Debian läuft einwandfrei auf meinem alten HS-251. Twonky über Docker Sache von Minuten. Keine „Vorschaugenerierungsorgien“ mehr.
Ich bin eigentlich auch drauf und dran mir das QNAP TS-453D zuzulegen, aber die häufigen Nachrichten zu Sicherheitslücken machen mir doch etwas Sorgen, zumal die Kiste auch außerhalb des Heimnetzes erreichbar sein soll.
Die Meldungen zu Sicherheitslücken sind vollkommen normal und richtig diese zu veröffentlichen. Es gibt keine Software oder Betriebssysteme, die frei von Fehler oder Sicherheitslücken sind.
Ichh bekommen tägliche etliche eMails von RedHat mit Updates und Sicherheitswarnungen zu deren Linux- und Container-Produkten.
Meine Qnap ist längst upgedatet und ein Angreifer muss erst mal darauf kommen um Schaden anzurichhten – das ist schon mal das erste, was man sicherstellen muss – keinen Zugriff von aussen erlauben.
Solche Nachrichten werden bei QNAP auch echt nicht weniger. Schade eigentlich, da ich ansonsten sehr zufrieden mit meiner NAS bin.
Ich bin gespannt, wann die erste Meldung kommt, dass dank des aktuellen Security-Updates Basisfeature-X oder Sonderfeature-Y nicht mehr geht und damit auch als quasi abgekündigt gilt.
Wäre nicht das erste Mal und wird bei den QNAP-Fricklern auch nicht das letzte Mal gewesen sein.
Die IT-SM-Orgie, die ich mit meinen QNAPs und SYNOLOGYs mitgemacht habe – nein danke.
Da lieber einen W10 Home-Mini-PC mit nem 10fach-USB3-Hub und alles auf externen Platten im heimischen Netz freigeben als wieder so einen teuren IT-Schrott zu kaufen.
Ich hab mir inzwischen alles auf eine komplett neue unRAID-Plattform installiert, läuft seit Monaten ohne Probleme : virtuelle W10-Maschinen incl. Grafikkarten-Beschleunigung, nach außen ein Open- bzw. FreeNAS ebenso (im Container) sowie intern ein redundant-sicheres NAS-Storage – für 119 € Lizenz und einer aktuellen AMD-Plattform.
Also ich habe vor dem Zugriff auf mein QNAP eine enfach Basic-Auth aktiviert.
Ist damit natürlich ein Schritt mehr, wenn ich vom Browser auf diese Zugreife, aber es gibt mir ein erhöhtes Sicherheitsgefühl.
Auch irgendwelche Scan-Bots wissen dann nicht, was sich hinter der Basic-Auth befindet.
Da der Zugriff von außen nur noch mit Basic-Auth geht, ist es nicht mehr möglich vom Handy per App drauf zuzugreifen.
Dies habe ich über VPN gelöst. Möchte ich von meinem Smartphone von unterwegs auf meine Daten drauf zugreifen, wähle ich mich zuerst in mein VPN ein und kann dann die App normal verwenden.
Sicherheits-Updates spiele ich natürlich auch ein. Ich eroffene mir aber damit nicht bei jeder Sicherheitlücke sofort das Update einzuspielen.