QNAP: DeadBolt Angriffe über eine im Dezember 2021 gepatchte Schwachstelle

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Frage, warum der NAS-Hersteller QNAP kürzlich seine Geräte per Zwangsupdate aktualisiert hat, ist nun geklärt. Die im Januar 2022 erfolgten Angriffe durch die DeadBolt-Ransomware waren nur möglich, wenn die NAS-Besitzer diese einerseits im Internet erreichbar machten und andererseits keine Updates installierten. Denn die ausgenutzte Schwachstelle ist im Dezember 2021 gepatcht worden.


Anzeige

Ramsomware-Angriffe auf auf QNAP-Systeme

Im Januar 2022 kam es gehäuft zu Ransomware-Infektionen bei QNAP-NAS-Laufwerken, bei denen die Dateien verschlüsselt wurden. Einen ersten Bericht über das Thema Ransomware-Angriffe auf QNAP-Geräte gab es im Januar im Artikel QNAP-Laufwerke im Januar 2022 Ziel von Ransomware-Angriffen. In den letzten 14 Tagen sind mir immer mal wieder Hinweise auf Probleme und Schwachstellen mit QNAP-Firmware untergekommen. Und es wurden Besitzer von QNAP NAS-Laufwerken Opfer diverser Ransomware-Familien.

Ramsomware-Angriffe auf auf QNAP-Systeme

Dann kam es binnen Tagen zu Infektionen von mehr als 3.600 QNAP-Systemen – siehe obigen Tweet und diesen Artikel bei Bleeping Computer.

QNAP-Zwangsupdate im Januar 2022

Dann hatte ich die Tage im Blog-Beitrag QNAP probt Zwangsupdate nach 3.600 DeadBolt-Ransomware-Infektionen über ein Zwangsupdate berichtet, welches Besitzer ungepatchter QNAP-Geräte Ende Januar 2022 überraschte. QNAP erzwang damit für alle NAS-Geräte der Kunden ein Firmware-Update auf QTS Version 5.0.0.1891. Dies ist die neueste Firmware, die am 23. Dezember 2021 veröffentlicht wurde (siehe QNAP Firmware-Update Version QTS 5.0.0.1891 build 20211221 und log4j-Schwachstelle).

Man beachte, dass ältere QNAP QTS-Firmware-Versionen wohl nicht aktualisiert wurden. Und der Grund, warum viele Nutzer nicht nicht auf QTS 5 gewechselt waren, liegt wohl an zahlreichen Bugs, die in dieser Firmware-Version enthalten waren. Ich hatte dies im Blog-Beitrag QNAP veröffentlicht NAS-Update und deaktiviert eine App angerissen.

QNAP legt Details offen

Zum 1. Februar 2022 hat das taiwanesische Unternehmen QNAP diese Pressemitteilung veröffentlicht, die den Kollegen hier aufgefallen ist. Darin heißt es, dass das QNAP Product Security Incident Response Team (PSIRT) festgestellt habe, dass Cyberkriminelle eine gepatchte Sicherheitslücke, die im QNAP Security Advisory (QSA-21-57) beschrieben ist, für einen Cyberangriff ausnutzen. Die betreffende Sicherheitslücke existiert in QTS 4.5.3 und spätere Versionen sowie in QuTS hero h4.5.3 und spätere Versionen. Wenn die Sicherheitslücke ausgenutzt wird, können Angreifer beliebigen Code im System ausführen. QNAP hat dann folgende korrigierte Firmware-Versionen veröffentlicht.

  • QTS 5.0.0.1891 build 20211221 and later
  • QTS 4.5.4.1892 build 20211223 and later
  • QuTS hero h5.0.0.1892 build 20211222 and later
  • QuTS hero h4.5.4.1892 build 20211223 and later
  • QuTScloud c5.0.0.1919 build 20220119 and later

In oben verlinkter Pressemitteilung heißt es, dass QNAP die NAS-Systemsoftware aktiv aktualisiert, um sicherzustellen, dass jedes seiner Produkte in jeder Phase seines Lebenszyklus effizient läuft. Diese Updates umfassen Funktionsaktualisierungen, Fehlerbehebungen und Sicherheitspatches.

  • Um Benutzern den Bezug der neuesten Version der Systemsoftware zu erleichtern, hat QNAP in QTS 4.5.0 / QuTS hero h4.5.0 die Funktion zur automatischen Aktualisierung auf die neueste Version eingeführt.
  • Darüber hinaus wurde in QTS 4.5.3 / QuTS hero h4.5.3 eine Funktion zur automatischen Aktualisierung auf die "Empfohlene Version" implementiert, um den Benutzern mehr Flexibilität zu bieten.

Der Hersteller schreibt, dass die Die empfohlene Version Funktions- und Sicherheitsverbesserungen aus früheren Versionen enthält. Um häufige Unterbrechungen der NAS-Dienste aufgrund automatischer Updates zu vermeiden, wird QNAP nur eine bestimmte Version mit wichtigen Korrekturen als "Empfohlene Version" festlegen, um Benutzer bei der Aktualisierung ihres NAS zu unterstützen. Scheint aber wohl im Januar 2022 schief gelaufen oder etwas großzügiger ausgelegt worden zu sein. Nur so ist zu erklären, dass QNAP-Gerätebesitzer von Zwangsupdates überrascht wurden.


Anzeige

Ähnliche Artikel:
QNAP probt Zwangsupdate nach 3.600 DeadBolt-Ransomware-Infektionen
QNAP-Laufwerke im Januar 2022 Ziel von Ransomware-Angriffen
QNAP Firmware-Update Version QTS 5.0.0.1891 build 20211221 und log4j-Schwachstelle
Ransomware eCh0raix greift QNAP-Geräte an (12.2021)
QNAP veröffentlicht NAS-Update und deaktiviert eine App
QNAP schließt RCE-Schwachstelle in QTS NAS-Betriebssystem


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit Geräte, NAS, Ransomware, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu QNAP: DeadBolt Angriffe über eine im Dezember 2021 gepatchte Schwachstelle

  1. Sansor sagt:

    So wie es aussieht, findet dieses „Zwangsupdate" aber nur dann statt, wenn die automatische Update Funktion aktiviert ist, entweder für neuste Version oder die empfohlene. Deaktiviert man die, kommt es zu keinem Update. Scheinbar haben viele User nicht mitbekommen, dass die Funktion für das empfohlene Update später hinzu kam und per Standard aktiviert ist.
    Also unterm Strich und genau genommen ein Administrationsproblem von Seiten des Users.
    Und bevor jemand ausruft: Die Änderung stand im Changelog.

  2. Luzifer sagt:

    betroffen ist man aber auch nur wenn man:
    a.) sein NAS einfach so im Netz hängen hat (eine der dümmsten Ideen überhaupt) und
    b.) diese autoupdate Funktion nicht deaktiviert hatte.

    ansonsten blieb man sowohl von den Angriffen wie auch dem Zwangsupdate verschont.
    Ich bevorzuge selbst die Kontrolle zu haben und nicht diese Dritten zu überlassen, muss mich dann halt auch selbst um Updates kümmern, was aber ja auch kein Aufwand ist wird dir im QTS ja angezeigt, dann wartet man ein paar Tage und schaut ob es Bugs gibt bevor man aktualisiert …. mache ich grundsätzlich bei jedem Gerät und jeder Software so! So ist man vor "Überraschungen" gefeit.

  3. Sansor sagt:

    Falls es noch von Relevanz ist: Im QNAPClub.de Forum hat sich ein Power-User die Mühe gemacht und das Ganze mit einem frisch aufgesetzten NAS getestet. Fazit:
    Solange beide Auto-Update Funktionen deaktiviert sind gibt es keine Updates. Kurz nach den aktivieren der empfohlenen Updates hat das NAS das Update installiert. Somit dürfte ganz klar sein: Kein Zwangsupdate.
    Siehe hier:
    forum.qnapclub.de/thread/59549-zwangsupdate-wegen-deadbolt/?postID=426715#post426715

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.