QNAP NAS: Malware manipuliert Hosts-Datei und verhindert Sicherheitsupdates

Eine unbekannte Malware manipuliert die Hosts-Datei von QNAP Netzwerkspeichern. Dadurch werden Updates von Virenscannern und QNAPs Malware Remover verhindert.

In Pocket speichern vorlesen Druckansicht 85 Kommentare lesen
Netzwerkkabel

(Bild: dpa, Felix Kästle/Illustration)

Lesezeit: 3 Min.
Von
  • Keywan Tonekaboni

Nutzer von QNAP-NAS-Systemen berichten von Problemen bei Updates von Virenscannern und der Installation von QNAPs hauseigenem Malware Remover. Laut ersten Meldungen schien zunächst der Netzwerkspeicher TS-251+ betroffen zu sein. Aber auch Nutzer anderer NAS-Systeme von QNAP berichten von Problemen.

Bisher ist nur bekannt, dass die Malware die Hosts-Datei (/etc/hosts) so manipuliert, dass Updates von Virenscannern unterbunden werden. Dazu wird laut einem der Nutzer im QNAP-Forum für über 700 Domainnamen die IP 0.0.0.0 eingetragen, beispielsweise für database.clamav.net. Durch den Eintrag in die Hosts-Datei wird das DNS umgangen und es kann zu der aufgerufenen Adresse keine Verbindung aufgebaut werden. Entferne man die Zeilen aus der Hosts-Datei, würden diese spätestens nach einem Neustart neu erscheinen.

Zudem scheint die Malware auch die Installation und das Update von QNAPs "Malware Remover" zu verhindern bzw. diesen zu befallen, wie auch deutsche Nutzer im Forum Qnapclub berichten. Der Malware Remover soll eigentlich Schädlinge wie das Botnetz VPNFilter erkennen und entfernen. Es ist bisher nicht bekannt, wie die Malware auf die Systeme gelangt ist. Auch gibt es keine Erkenntnisse über mögliche weitere Schadroutinen.

Obwohl bereits seit Ende Januar Nutzer in den QNAP-Foren und auf Reddit über die Probleme berichten, gibt es bisher keine Stellungnahme von QNAP. Auf Nachfrage von heise online wollte sich QNAP nicht weiter äußern, aber das Problem sei bekannt. Es gibt ein Skript namens "derek-be-gone.sh", welches anscheinend die Malware entfernt und eine bestimmte Version des Malware Removers herunterlädt und installiert. Laut einem Nutzer auf Reddit wurde dieses von QNAP-Technikern über eine Teamviewer-Sitzung ausgeführt und empfohlen. Danach sei das Problem behoben gewesen.

In diversen Meldungen und auf Reddit kursiert die Empfehlung auf der Kommandozeile "curl https://download.qnap.com/Storage/tsd/utility/derek-be-gone.sh | sh" auszuführen. Dadurch wird das Skript vom QNAP-Server heruntergeladen und direkt ausgeführt. Allgemein sollte ein Skript nicht ohne weitere Prüfung unmittelbar nach einem Download ausgeführt werden. Zudem ist es bedenklich, wenn durch das Skript nur die Symptome behoben werden, statt die Ursache zu fixen. Einzelne Nutzer berichten, dass sie Überreste der Malware manuell beseitigen mussten.

Problematisch ist die Informationspolitik von QNAP. Zahlreiche Nutzer verlangen im offiziellen Forum bereits eine Stellungnahme von QNAP zu der Malware. Offen bleibt die Frage, wie die Schadsoftware auf die NAS-Geräte gelangen konnte. Betroffene Nutzer sollten daher sich nicht auf das Skript verlassen, sondern sicherheitshalber die NAS zurücksetzen oder mit einem neuen Firmware-Image installieren. Zudem sollten die auf betroffenen System verwendeten Passwörter geändert werden.

Update 13.02.19, 14:30: QNAP empfiehlt in einem Security Advisory den Malware Remover manuell aus dem App Center herunterzuladen. Das vorher genannte Skript findet keine Erwähnung. QNAP verweist nur darauf, dass sie weiter den Vorfall untersuchen und schnellstmöglich weitere Informationen und einen Fix bereitstellen werden. (ktn)