VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

VirusDas F-Secure Lab hat drei Sicherheitslücken in einem NAS-Gerät (Network Attached Storage) von QNAP Systems Inc. entdeckt. 

Die finnische Cybersicherheitsfirma warnt davor, dass Angreifer diese Schwachstellen ausnutzen können, um die Kontrolle über diese Geräte zu erlangen. Die Ergebnisse könnten Millionen von Geräten betreffen, die derzeit in Gebrauch sind. Der Vorfall setzt eine besorgniserregende Tendenz zu immer mehr unsicheren Produkte fort, wodurch die Nutzer zunehmend Online-Bedrohungen ausgesetzt sind.

Die Forscher fanden die Lücken bei einer Untersuchung des NAS-Geräts TVS-663 von QNAP. Die Untersuchung ergab, dass Angreifer die Schwachstellen im Firmware-Update-Prozess des Geräts nutzen könnten, um die administrative Kontrolle darüber zu erlangen. Dieser Grad der Kontrolle würde ihnen die gleichen Rechte geben wie legitimen Administratoren. Die Angreifer könnten dadurch unbehelligt Malware installieren, auf Inhalte und Daten zugreifen, Passwörter stehlen und sogar Befehle per Remote ausführen.

Harry Sintonen, Senior Security Consultant bei F-Secure, entwickelte einen Proof-of-Concept-Ansatz, um zu bestätigen, dass diese Schwachstellen von Angreifern ausgenutzt werden könnten. „Viele dieser Arten von Schwachstellen sind für sich allein nicht gefährlich. Angreifer, die in der Lage sind, sie zusammenzubringen, können jedoch eine massive Gefahr herbeiführen“, sagte Sintonen. „Erfolgreiche Hacker verstehen, dass auch kleine Sicherheitslücken – mit dem richtigen Know-how – große Chancen bieten.“

Der Proof-of-Concept von Sintonen startet, wenn das Gerät unverschlüsselte Anfragen für Firmware-Updates an das Unternehmen zurücksendet. Die mangelnde Verschlüsselung ermöglicht es potenziellen Angreifern, die Antwort auf diese Anfrage abzufangen und zu modifizieren. Sintonen nutzte diese Schwäche aus, um einen als Firmware-Update getarnten Exploit in das Gerät einzuschleusen. Das getarnte Firmware-Update trickste das Gerät aus, so dass es automatisch versuchte, die vermeintliche Firmware zu installieren. Während das getarnte Update nie tatsächlich installiert wird, nutzt der Exploit einen Fehler im Prozess, um das System vollständig zu kompromittieren.

Sintonen zufolge, ist das Stehlen oder Ändern von Daten für einen Angreifer, der in der Lage ist, diese Schwachstellen so auszunutzen, sehr einfach. „Es ist nur erforderlich, dem Gerät zu sagen, dass eine neuere Version der Firmware bereitsteht. Da die Update-Anforderung ohne Verschlüsselung erfolgt, ist dies nicht sehr schwer. Danach kann der Angreifer im Grunde alles tun, was er will.“

Während Sintonen seine Untersuchung auf das QNAP TVS-663 beschränkte, vermutet er, dass Modelle, die dieselbe Firmware verwenden, dieselben Probleme aufweisen könnten. Auf dieser Grundlage schätzt Sintonen, dass über 1,4 Millionen Geräte anfällig sein könnten, wobei die Zahl sogar viel höher sein könnte. „Wir haben Firmware-Versionen untersucht, die derzeit verwendet werden. Aber da viele Leute ihre Firmware nie aktualisieren, könnte die tatsächliche Zahl viel höher sein, vielleicht mehrere Millionen“, so Sintonen.

Hinweise für betroffene Nutzer

F-Secure hat QNAP im Februar 2016 über diese Probleme informiert. Bislang ist F-Secure Labs nicht bekannt, ob QNAP die Probleme behoben hat. Ohne einen Patch der Firma gibt es keine Möglichkeit, die betroffenen Geräte dauerhaft in Ordnung zu bringen.

Janne Kauhanen, Experte für Cybersicherheit bei F-Secure, sieht jedoch einen Silberstreif am Horizont. „Probleme treten bei unglaublich vielen Internet-angebundenen Geräten auf, so dass wir ständig Produkte kaufen, die diese Sicherheitsprobleme aufweisen. Aber in diesem Fall müssen Angreifer zuerst zwischen Update-Server und Endbenutzer ansetzen, und dieser zusätzliche Schritt ist genug Arbeit, um viele opportunistische oder gering qualifizierte Angreifer zu entmutigen“, sagte Kauhanen. „Wir haben jedoch Fälle gesehen, in denen motivierte Angreifer ähnliche Sicherheitsprobleme ausgenutzt haben für eine vorbereitende Aufklärung einer Phishing-Kampagne oder um ihre Präsenz in Netzwerken zu verbergen, so dass sie durchaus noch Schaden anrichten könnten.“

Es gibt Möglichkeiten, wie sich Nutzer schützen können, während sie auf eine dauerhafte Behebung von Herstellerseite aus warten. Wer den QNAP TVS-663 oder andere Geräte mit derselben Firmware (QTS-Firmware 4.2 oder später) einsetzt, sollte die automatische Überprüfung der Firmware-Updates deaktivieren und die Überprüfung manuell mit gesicherten Quellen durchführen, bis das Problem behoben ist. Kauhanen empfiehlt diese temporären Schutzmaßnahmen allen Nutzern, die ein betroffenes Gerät für den Umgang mit sensiblen Daten nutzen.

Der Hersteller und die Behörden wurden bereits vor der Veröffentlichung dieser Sicherheitsanfälligkeit darauf aufmerksam gemacht.

www.f-secure.com/de

GRID LIST
Mac Malware

Malware für macOS macht sich strukturelle Lücke zunutze

Malware? Für Mac-Nutzer ist das doch gar kein Problem. Und tatsächlich gibt es weit…
Hacker

Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

Der aktuelle BSI-Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind.…
Phishing

Die Malware Muddy Water weitet Angriffe auf Regierungsziele aus

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘…
Tb W190 H80 Crop Int 3291093b7e9d4bb8f9855b6052833cf6

Banking-Trojaner und gefälschte Wettanbieter-Apps

Der September 2018 stand ganz im Zeichen eines Banking-Trojaners, welcher es auf die…
Tb W190 H80 Crop Int 66a298aa494de1bd9d09e2e746d170e8

Tipps für IT-Sicherheit im Büro

Knapp 90 Prozent der Bevölkerung sind laut ARD/ZDF-Onlinestudie inzwischen online, auch…
Tb W190 H80 Crop Int F91e3a4d242630c208b60fee05b31566

Attacke mit 1,7 Tb/s – DDoS-Schutzsysteme nicht gewachsen

Das maximale Angriffsvolumen von DDoS-Angriffen ist in stetigem Wachstum. Noch vor…
Smarte News aus der IT-Welt