Kritische Sicherheitslücken in NAS-Modellen (WD, NetGear, SeaGate, Medion)

[English]Schlechte Nachrichten für Besitzer von NAS-Systemen (WD My Book, NetGear Stora, SeaGate Home, Medion LifeCloud NAS). Dort haben Sicherheitsforscher gleich mehrere Schwachstellen gefunden.

Zum Hintergrund

NAS-Geräte sind für viele kleine und mittlere Unternehmen (SMB), aber auch für Privatanwender, zum bevorzugten Speichermedium im Netzwerk geworden. Sie sind preiswert, einfach zu bedienen und erweiterbar. Bleibt die Frage, sind die NAS-Laufwerke sicher genug, um dort gespeicherte Unternehmensdaten zu schützen? Das war die Frage, die das Team von wizcase.com bewegte. Daher haben sie die Sicherheitsforscher Paulos Yibelo und Daniel Eshetu beauftragt, einige gängige NAS-Modelle auf Schwachstellen zu untersuchen.

Dabei wurde sich nur auf kritische Schwachstellen konzentriert, die Remote und ohne Benutzerinteraktion ausgenutzt werden können. Das heißt, Authentifizierungsbypässe waren nicht genug. Es war gefordert, dass remote Befehle auf den Geräten mit den höchsten (root-) Rechten auszuführen sind. Die Sicherheitsforscher waren bei allen getesteten Geräten:

• WD My Book,
• NetGear Stora,
• SeaGate Home,
• Medion LifeCloud NAS

erfolgreich. Die Leute von wizcase.com haben mich am Wochenende per Mail kontaktiert und auf ihre hier dokumentierten Entdeckungen hingewiesen.

Zusammenfassung der Sicherheitslücken

Es war den Sicherheitsforschern möglich, erfolgreich Remote-Befehle auf den NAS-Laufwerken mit Root-Rechten (ohne Authentifizierung) auszuführen. Es wurde lediglich die IP-Adresse des jeweiligen Geräts für die Angriffe benötigt. Hier einige Ergebnisse der Untersuchungen:

• Alle vier getesteten NAS-Geräte weisen eine Zero-Day-Schwachstelle bei der Ausführung von Remote Command Execution (Preauth RCE) mit Root-Rechten auf.
• Die Schwachstellen ermöglichen es Hackern, Regierungen oder Personen mit böswilliger Absicht, Dateien zu lesen, Benutzer hinzuzufügen/zu entfernen, bestehende Daten hinzuzufügen/zu ändern oder Befehle mit höchsten Rechten auf allen Geräten auszuführen.

Das Team von wizcase.com ist überzeugt, dass es viele andere NAS-Geräte gibt, die unter ähnlichen Schwachstellen leiden. Der Grund: Bisher ist das Thema Sicherheit bei NAS-Geräte wohl nicht im Fokus der Hersteller – und das in der Firmware der Geräte verwendete OS wird von vielen Herstellern verwendet.

Beide gefundene Schwachstellen (CVE-2018-18472 und CVE-2018-18471) sind zum Zeitpunkt dieser Veröffentlichung ungepatcht. Geschätzt sind fast 2 Millionen betroffene Geräte online, d.h. über das Internet erreich- und damit angreifbar. Details zu den Schwachstellen werden im wizcase.com-Beitrag beschrieben.

CVE-2018-18472: XXE und Unauthenticated Remote Command Execution

Diese Schwachstelle steckt im Axentra Hipserv NAS OS, welches auf verschiedenen Geräten als Betriebssystem läuft. Das OS bietet Cloud-basierte Anmelde-, Dateiablage- und Verwaltungsfunktionen für verschiedene Geräte. Es wird u.a. in Geräten von folgenden Anbietern verwendet:

• Netgear Stora
• Seagate GoFlex Home
• Medion LifeCloud (und möglicherweise mehr Modellen)

Das Unternehmen Axentra stellt eine Firmware mit einer Weboberfläche zur Verfügung, die hauptsächlich PHP als serverseitige Sprache verwendet. Die Webschnittstelle verfügt über einen REST-API-Endpunkt und eine typische Web-Management-Schnittstelle mit Unterstützung für einen Dateimanager.

CVE-2018-18472: WD MyBook Live Remote Command Execution

WD MyBook Live und einige Modelle von WD MyCloud NAS enthalten eine remote ausnutzbare Schwachstelle, die es jedem ohne Authentifizierung ermöglicht, Befehle auf dem Gerät als root auszuführen. Die Schwachstelle besteht in der Möglichkeit zur Sprachänderung und Modifikation der Funktionalität in der REST-API. Ein Proof of Concept wird im wizcase.com-Beitrag gezeigt.

Was bedeutet das für die betroffenen NAS-Anwender?

Die spannende Frage lautet, was das für die Gerätebesitzer an praktischen Konsequenzen hat. Die Leute von wizcase.com schlagen folgendes vor:

• Wenn Sie eines der oben genannten Geräte verwenden und diese über WAN verbunden sind, stellen Sie sicher, dass das Gerät nicht mehr aus dem Internet erreichbar ist. Das NAS sollte nur lokal, im sicheren Netzwerk, erreichbar sein.
• Wenden Sie sich unbedingt an die betroffenen Anbieter und bestehen Sie darauf, dass diese so schnell wie möglich einen Patch veröffentlichen! Denn bisher ist wohl kein Update freigegeben.

Die Leute von wizcase.com schlagen zudem vor, ein VPN zu verwenden, um Ihre Computer und mobilen Geräte vor Hackern zu schützen. Empfohlen werden ExpressVPN und NordVPN, da beide eine 256-Bit-AES-Verschlüsselung verwenden.

Gerade bei NordVPN zuckt es aber bei mir, habe ich doch erst Mitte September 2018 im Beitrag ProtonVPN und NordVPN mit Privilege Escalation-Bug über eine Schwachstelle in diesem Produkt berichtet.

Ergänzung: Zu ExpressVPN möchte ich zudem auf den Beitrag Früherer Malware-Vertreiber kauft ExpressVPN, CyberGhost und Co. aus dem Jahr 2021 hinweisen.