Thought Leadership
Das F-Secure Lab hat drei Sicherheitslücken in einem NAS-Gerät (Network Attached Storage) von QNAP Systems Inc. entdeckt.
Die finnische Cybersicherheitsfirma warnt davor, dass Angreifer diese Schwachstellen ausnutzen können, um die Kontrolle über diese Geräte zu erlangen. Die Ergebnisse könnten Millionen von Geräten betreffen, die derzeit in Gebrauch sind. Der Vorfall setzt eine besorgniserregende Tendenz zu immer mehr unsicheren Produkte fort, wodurch die Nutzer zunehmend Online-Bedrohungen ausgesetzt sind.
Die Forscher fanden die Lücken bei einer Untersuchung des NAS-Geräts TVS-663 von QNAP. Die Untersuchung ergab, dass Angreifer die Schwachstellen im Firmware-Update-Prozess des Geräts nutzen könnten, um die administrative Kontrolle darüber zu erlangen. Dieser Grad der Kontrolle würde ihnen die gleichen Rechte geben wie legitimen Administratoren. Die Angreifer könnten dadurch unbehelligt Malware installieren, auf Inhalte und Daten zugreifen, Passwörter stehlen und sogar Befehle per Remote ausführen.
Harry Sintonen, Senior Security Consultant bei F-Secure, entwickelte einen Proof-of-Concept-Ansatz, um zu bestätigen, dass diese Schwachstellen von Angreifern ausgenutzt werden könnten. „Viele dieser Arten von Schwachstellen sind für sich allein nicht gefährlich. Angreifer, die in der Lage sind, sie zusammenzubringen, können jedoch eine massive Gefahr herbeiführen“, sagte Sintonen. „Erfolgreiche Hacker verstehen, dass auch kleine Sicherheitslücken – mit dem richtigen Know-how – große Chancen bieten.“
Der Proof-of-Concept von Sintonen startet, wenn das Gerät unverschlüsselte Anfragen für Firmware-Updates an das Unternehmen zurücksendet. Die mangelnde Verschlüsselung ermöglicht es potenziellen Angreifern, die Antwort auf diese Anfrage abzufangen und zu modifizieren. Sintonen nutzte diese Schwäche aus, um einen als Firmware-Update getarnten Exploit in das Gerät einzuschleusen. Das getarnte Firmware-Update trickste das Gerät aus, so dass es automatisch versuchte, die vermeintliche Firmware zu installieren. Während das getarnte Update nie tatsächlich installiert wird, nutzt der Exploit einen Fehler im Prozess, um das System vollständig zu kompromittieren.
Sintonen zufolge, ist das Stehlen oder Ändern von Daten für einen Angreifer, der in der Lage ist, diese Schwachstellen so auszunutzen, sehr einfach. „Es ist nur erforderlich, dem Gerät zu sagen, dass eine neuere Version der Firmware bereitsteht. Da die Update-Anforderung ohne Verschlüsselung erfolgt, ist dies nicht sehr schwer. Danach kann der Angreifer im Grunde alles tun, was er will.“
Während Sintonen seine Untersuchung auf das QNAP TVS-663 beschränkte, vermutet er, dass Modelle, die dieselbe Firmware verwenden, dieselben Probleme aufweisen könnten. Auf dieser Grundlage schätzt Sintonen, dass über 1,4 Millionen Geräte anfällig sein könnten, wobei die Zahl sogar viel höher sein könnte. „Wir haben Firmware-Versionen untersucht, die derzeit verwendet werden. Aber da viele Leute ihre Firmware nie aktualisieren, könnte die tatsächliche Zahl viel höher sein, vielleicht mehrere Millionen“, so Sintonen.
Hinweise für betroffene Nutzer
F-Secure hat QNAP im Februar 2016 über diese Probleme informiert. Bislang ist F-Secure Labs nicht bekannt, ob QNAP die Probleme behoben hat. Ohne einen Patch der Firma gibt es keine Möglichkeit, die betroffenen Geräte dauerhaft in Ordnung zu bringen.
Janne Kauhanen, Experte für Cybersicherheit bei F-Secure, sieht jedoch einen Silberstreif am Horizont. „Probleme treten bei unglaublich vielen Internet-angebundenen Geräten auf, so dass wir ständig Produkte kaufen, die diese Sicherheitsprobleme aufweisen. Aber in diesem Fall müssen Angreifer zuerst zwischen Update-Server und Endbenutzer ansetzen, und dieser zusätzliche Schritt ist genug Arbeit, um viele opportunistische oder gering qualifizierte Angreifer zu entmutigen“, sagte Kauhanen. „Wir haben jedoch Fälle gesehen, in denen motivierte Angreifer ähnliche Sicherheitsprobleme ausgenutzt haben für eine vorbereitende Aufklärung einer Phishing-Kampagne oder um ihre Präsenz in Netzwerken zu verbergen, so dass sie durchaus noch Schaden anrichten könnten.“
Es gibt Möglichkeiten, wie sich Nutzer schützen können, während sie auf eine dauerhafte Behebung von Herstellerseite aus warten. Wer den QNAP TVS-663 oder andere Geräte mit derselben Firmware (QTS-Firmware 4.2 oder später) einsetzt, sollte die automatische Überprüfung der Firmware-Updates deaktivieren und die Überprüfung manuell mit gesicherten Quellen durchführen, bis das Problem behoben ist. Kauhanen empfiehlt diese temporären Schutzmaßnahmen allen Nutzern, die ein betroffenes Gerät für den Umgang mit sensiblen Daten nutzen.
Der Hersteller und die Behörden wurden bereits vor der Veröffentlichung dieser Sicherheitsanfälligkeit darauf aufmerksam gemacht.
