Qnap patcht häppchenweise
Mittlerweile stehen Updates des Herstellers für die verwundbaren NAS- und Videoüberwachungssysteme bereit.
Kurz nach der Veröffentlichung mehrere Sicherheitslücken in Qnaps NAS- und Netzwerkvideorekorder-Systemen, die einem Angreifer komplette Kontrolle ermöglichen, hat der Hersteller eine aktualisierte Version seiner Software veröffentlicht. Allerdings erfolgen die Sicherheits-Updates nur häppchenweise.
Zunächst gab es ein Update des Software-Pakets Surveillance Station Pro auf die Version 3.0.1 (aktuell ist mittlerweile 3.0.2), in dessen Genuss allerdings nur die NAS-Systeme mit Firmware Version 4 kamen. Auf den Hinweis von heise Security, dass durchaus noch Systeme mit der älteren Firmware 3.8 im Einsatz sind, die damit weiterhin verwundbar bleiben, kam erstmal Schweigen – und etwas später Surveillance Station Pro v2.6. Das müssen Anwender derzeit noch als direkten Download installieren; Qnaps Appstore bietet nach wie vor die anfällige Version 2.5 zum Download an. Für die generell anfälligen Viostor-Überwachungssysteme gibt es seit gestern aktualisierte Firmware-Versionen.
Überhaupt hält sich Qnap in dieser Angelegenheit nach wie vor sehr bedeckt. Auf den Web-Seiten des Herstellers sind keine Informationen zu dem Problem beziehungsweise deren Behebung zu finden. Lediglich in einem registrierungspfilchtigen Forum gibt ein Posting eines Qnap-Mitarbeiters Tipps zum Update. Es spricht allerdings nur ganz vage von einem potentiellen Sicherheitsproblem und wurde im Lauf der letzten Tage mehrfach geändert. Dafür liefert es konkrete Links auf die jeweils aktuellen Downloads. Auch für Viostor-Admins gibt es ein entsprechendes Posting mit Links zu den aktuellen Firmware-Dateien.
Tim Herres und David Elze vom Offensive-Security-Team der Daimler TSS versuchten seit März, den Hersteller auf diese gravierende Sicherheitslücke aufmerksam zu machen, durch die tausende Systeme sperrangelweit offen stehen. Da die Sicherheitslücke und die Möglichkeiten, diese auszunutzen mittlerweile in einschlägigen Foren diskutiert werden, sollten Admins nun schleunigst handeln.
Update vom 11. Juni, 11 Uhr: Inzwischen hat sich Qnap zumindest zu den Sicherheitsproblemen in seinen NAS geäußert. Demnach sind nur NAS verwundbar, auf denen die Surveillance Station Pro App installiert wurde. Betroffenen Nutzern empfiehlt das Unternehmen, das Sicherheitsupdate über das App-/QPKG Center zu installieren. (ju)
