Gravierende Sicherheitslücken in Qnap-Speicher- und Überwachungssystemen
Mal eben übers Netz ein belastendes Video der Überwachungskamera löschen oder das Backup des Kollegen abziehen? Bei vielen NAS- und Videoüberwachungs-Systemen des Herstellers Qnap ist das erschreckend einfach.
Viele NAS-Systeme des Herstellers Qnap sind von Sicherheitsproblemen betroffen, die in der Kombination bedeuten, dass ein Angreifer übers Netz auf dem System beliebige Befehle als Administrator ausführen kann – im schlimmsten Fall sogar übers Internet. Neben reinen Netzwerk-Storage-Systemen sind insbesondere die Videoüberwachungssysteme VioStor von Qnap Security anfällig.
Entdeckt wurden die Lücken von Tim Herres und David Elze aus dem Offensive-Security-Team der Daimler TSS. Sie hatten die Probleme bereits im März beim CERT gemeldet, das allerdings anscheinend keinen Kommunikationspartner für Security-Fragen bei Qnap aufspüren konnte, der auf ihre Versuche, das Problem zu erläutern, reagiert hätte. Als das dann auch nach zwei Monaten noch nicht beseitigt war, kontaktierten die beiden Tester heise Security. Über Redaktionskontakte der c't gelang es dann recht schnell, einen Ansprechpartner bei Qnap zu finden.
Der eingebaute Web-Server der VioStor- und NAS-Geräte stellt eine Reihe von Dienstprogrammen im Verzeichnis cgi-bin/ bereit. Damit da kein Unfug getrieben werden kann, ist dieses Verzeichnis mit einem Zugangsschutz versehen: Der Server fragt beim Zugriff einen Benutzernamen und Passwort ab (HTTP Basic Authentication). Das Problem ist, dass schon die Eingabe einer Gastkennung den Zugang frei schaltet und sich das auch über das Benutzer-Interface nicht abschalten lässt.
Bei den so erreichbaren CGI-Programmen findet sich create_user.cgi und auf manchen Systemen auch pingping.cgi. Über das erste kann ein Angreifer etwa einen neuen Admin-Account anlegen, wenn er es mit den richtigen Parametern aufruft (Cross Site Request Forgery, CSRF). Dem Ping-Skript kann er sogar eigene Shell-Befehle so unterjubeln, dass diese direkt mit Root-Rechten ausgeführt werden. Heise Security konnte diese Schwachstelle reproduzieren.
Im Internet finden sich reihenweise verwundbare Qnap-Systeme; aber in Firmennetzen dürfte es kaum erwünscht sein, dass jeder Mitarbeiter administrativen Zugriff auf den Netzwerkspeicher erlangen kann – ganz zu schweigen von der Gefahr, dass etwa ein Einbrecher vor Ort nur kurz seinen Laptop in eine Netzwerkdose stöpselt, um die belastenden Videos der VioStor-Überwachungssysteme zu löschen.
Betroffen sind nach Informationen der Daimler-TSS-Tester zumindest QNAP VioStor Netzwerk-Videorekorder bis zur Firmware-Version 4.0.3. Brisant wird das ganze, wenn man sich ansieht, wo diese Überwachungssysteme überall zum Einsatz kommen: Qnap Security listet als Kunden Polizei, Millitär und Banken. Qnaps NAS-Systeme weisen den Gastzugang ebenfalls auf und zumindest wenn die Surveillance Station Pro installiert ist, auch das problematische Ping-Skript.
Das CERT hat ein Advisory zu diesem Sachverhalt veröffentlicht und stuft die Lücken CVE-2013-0141, CVE-2013-0142 und CVE-2013-0143 in der höchsten Gefahrensstufe CVSS 10 ein. QNAP arbeitet derzeit an der Beseitigung des Problems und will demnächst weitere Informationen dazu veröffentlichen. Bis dahin sollte man den Zugang zu betroffenen Systemen strikt reglementieren. Da bereits früher CGI-Skripte Zugriff auf QNAP-Systeme gewährten, sollte man damit rechnen, dass in diesem Verzeichnis weitere potentielle Hintertüren lauern.
Update 11:15, 7.7.2013: Qnap hat eine neue Version 3.0.1 des Pakets Surveillance Station Pro veröffentlicht, das diese Sicherheitsprobleme zumindest auf den NAS-Systemen beseitigen soll. Allerdings ist es nicht ganz einfach, es zu installieren, da die Adminstrations-Oberfläche keine Security-Updates für Applikationen vorsieht.
Nutzer von Viostor-Systemen müssen weiter auf ein Update warten.
(ju)
