Qnap hat zurzeit mit gravierenden Sicherheitslücken in seinen NAS- und anderen Systemen zu kämpfen. Durch diese können Angreifer im Fernzugriff potenziell beliebige Anweisungen als Administrator ausführen. Hiervon soll eine Vielzahl der Speicher- als auch der Videoüberwachungssysteme des Herstellers betroffen sein. Von Computerbase:

So soll eine schwerwiegende Lücke im Web-Server der VioStor- und NAS-Geräte zu finden sein. Der Dienst stellt eine Reihe von Dienstprogrammen bereit, welche im Verzeichnis cgi-bin/ zu finden sind. Zur Sicherheit wurde dieses Verzeichnis mit einem Zugriffsschutz versehen, bei welchem der Benutzername und das dazugehörige Passwort abgefragt werden.

Wie jetzt Tim Herres und David Elze aus dem Offensive-Security-Team der Daimler TSS heraus fanden, schaltet bereits eine Gastkennung den Zugang frei, welcher sich auch über das Benutzer-Interface nicht wieder deaktivieren lässt. Über das dabei erreichbare CGI-Programm create_user.cgi lässt sich über ein Cross Site Request Forgery (CSRF) und durch Eingabe der richtigen Parameter ein neuer Account mit Administrator-Rechten anlegen. Über pingping.cgi können anschließend sogar Shell-Befehle mit Root-Rechten ausgeführt werden.

Weiter lesen