VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

VirusDas F-Secure Lab hat drei Sicherheitslücken in einem NAS-Gerät (Network Attached Storage) von QNAP Systems Inc. entdeckt. 

Die finnische Cybersicherheitsfirma warnt davor, dass Angreifer diese Schwachstellen ausnutzen können, um die Kontrolle über diese Geräte zu erlangen. Die Ergebnisse könnten Millionen von Geräten betreffen, die derzeit in Gebrauch sind. Der Vorfall setzt eine besorgniserregende Tendenz zu immer mehr unsicheren Produkte fort, wodurch die Nutzer zunehmend Online-Bedrohungen ausgesetzt sind.

Die Forscher fanden die Lücken bei einer Untersuchung des NAS-Geräts TVS-663 von QNAP. Die Untersuchung ergab, dass Angreifer die Schwachstellen im Firmware-Update-Prozess des Geräts nutzen könnten, um die administrative Kontrolle darüber zu erlangen. Dieser Grad der Kontrolle würde ihnen die gleichen Rechte geben wie legitimen Administratoren. Die Angreifer könnten dadurch unbehelligt Malware installieren, auf Inhalte und Daten zugreifen, Passwörter stehlen und sogar Befehle per Remote ausführen.

Harry Sintonen, Senior Security Consultant bei F-Secure, entwickelte einen Proof-of-Concept-Ansatz, um zu bestätigen, dass diese Schwachstellen von Angreifern ausgenutzt werden könnten. „Viele dieser Arten von Schwachstellen sind für sich allein nicht gefährlich. Angreifer, die in der Lage sind, sie zusammenzubringen, können jedoch eine massive Gefahr herbeiführen“, sagte Sintonen. „Erfolgreiche Hacker verstehen, dass auch kleine Sicherheitslücken – mit dem richtigen Know-how – große Chancen bieten.“

Der Proof-of-Concept von Sintonen startet, wenn das Gerät unverschlüsselte Anfragen für Firmware-Updates an das Unternehmen zurücksendet. Die mangelnde Verschlüsselung ermöglicht es potenziellen Angreifern, die Antwort auf diese Anfrage abzufangen und zu modifizieren. Sintonen nutzte diese Schwäche aus, um einen als Firmware-Update getarnten Exploit in das Gerät einzuschleusen. Das getarnte Firmware-Update trickste das Gerät aus, so dass es automatisch versuchte, die vermeintliche Firmware zu installieren. Während das getarnte Update nie tatsächlich installiert wird, nutzt der Exploit einen Fehler im Prozess, um das System vollständig zu kompromittieren.

Sintonen zufolge, ist das Stehlen oder Ändern von Daten für einen Angreifer, der in der Lage ist, diese Schwachstellen so auszunutzen, sehr einfach. „Es ist nur erforderlich, dem Gerät zu sagen, dass eine neuere Version der Firmware bereitsteht. Da die Update-Anforderung ohne Verschlüsselung erfolgt, ist dies nicht sehr schwer. Danach kann der Angreifer im Grunde alles tun, was er will.“

Während Sintonen seine Untersuchung auf das QNAP TVS-663 beschränkte, vermutet er, dass Modelle, die dieselbe Firmware verwenden, dieselben Probleme aufweisen könnten. Auf dieser Grundlage schätzt Sintonen, dass über 1,4 Millionen Geräte anfällig sein könnten, wobei die Zahl sogar viel höher sein könnte. „Wir haben Firmware-Versionen untersucht, die derzeit verwendet werden. Aber da viele Leute ihre Firmware nie aktualisieren, könnte die tatsächliche Zahl viel höher sein, vielleicht mehrere Millionen“, so Sintonen.

Hinweise für betroffene Nutzer

F-Secure hat QNAP im Februar 2016 über diese Probleme informiert. Bislang ist F-Secure Labs nicht bekannt, ob QNAP die Probleme behoben hat. Ohne einen Patch der Firma gibt es keine Möglichkeit, die betroffenen Geräte dauerhaft in Ordnung zu bringen.

Janne Kauhanen, Experte für Cybersicherheit bei F-Secure, sieht jedoch einen Silberstreif am Horizont. „Probleme treten bei unglaublich vielen Internet-angebundenen Geräten auf, so dass wir ständig Produkte kaufen, die diese Sicherheitsprobleme aufweisen. Aber in diesem Fall müssen Angreifer zuerst zwischen Update-Server und Endbenutzer ansetzen, und dieser zusätzliche Schritt ist genug Arbeit, um viele opportunistische oder gering qualifizierte Angreifer zu entmutigen“, sagte Kauhanen. „Wir haben jedoch Fälle gesehen, in denen motivierte Angreifer ähnliche Sicherheitsprobleme ausgenutzt haben für eine vorbereitende Aufklärung einer Phishing-Kampagne oder um ihre Präsenz in Netzwerken zu verbergen, so dass sie durchaus noch Schaden anrichten könnten.“

Es gibt Möglichkeiten, wie sich Nutzer schützen können, während sie auf eine dauerhafte Behebung von Herstellerseite aus warten. Wer den QNAP TVS-663 oder andere Geräte mit derselben Firmware (QTS-Firmware 4.2 oder später) einsetzt, sollte die automatische Überprüfung der Firmware-Updates deaktivieren und die Überprüfung manuell mit gesicherten Quellen durchführen, bis das Problem behoben ist. Kauhanen empfiehlt diese temporären Schutzmaßnahmen allen Nutzern, die ein betroffenes Gerät für den Umgang mit sensiblen Daten nutzen.

Der Hersteller und die Behörden wurden bereits vor der Veröffentlichung dieser Sicherheitsanfälligkeit darauf aufmerksam gemacht.

www.f-secure.com/de

GRID LIST
Faxgerät

Faxploit-Sicherheitslücke: Wie sicher ist die Fax-Technologie?

Richtigstellung: Nicht die Fax-Technologie ist per se unsicher. Die zu diesem Thema…
Geschenkarten

Cyberkriminelle verschenken „50-Euro-Geschenkkarte für lau!“

Ob Geschenkgutschein für Amazon oder Google Play, Freikarten für den Freizeitpark oder…
Firewall

Schutz vor Angriffen auf private und geschäftliche E-Mail-, Social Media- und Cloud-Anwendungen

Proofpoint, Inc., kündigte drei Neuerungen bei der anwenderbezogenen IT-Sicherheit an:…
DDoS Attack

9.325 DDoS-Attacken im 2. Quartal 2018

Laut Link11 hat es von April bis Juni über 9.000 DDoS-Attacken in Deutschland, Österreich…
Leopard jagt Springbock

IT trifft OT – eine folgenreiche Begegnung

Sitzt man in einer Vorlesung für Elektroingenieure gehört dieser Satz vielleicht zu den…
Mann mit Lupe

Auf den Spuren der Hacker - wie werden gestohlene Passwörter genutzt?

Phishing-Angriffe, die darauf abzielen, mittels Social Engineering von Mitarbeitern…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security