Kwetsbaarheden in NAS-firmware mogelijk groot veiligheidsrisico voor gebruikers

Onderzoekers van F-Secure hebben drie kwetsbaarheden ontdekt in een NAS-device (Network Attached Storage) van QNAP Systems Inc. Het beveiligingsbedrijf waarschuwt dat aanvallers deze kwetsbaarheden kunnen gebruiken om controle te krijgen over het apparaat. De bevindingen zijn mogelijk van toepassing op miljoenen apparaten en zet de zorgwekkende trend voort van onveilige producten die gebruikers blootstellen aan aanvallen van buitenaf.

Onderzoekers ontdekten de zwakke plek tijdens een inspectie van QNAP’s TVS-663 NAS. Aanvallers kunnen dankzij kwetsbaarheden in de automatische firmware-updates de administratieve controle grijpen over het apparaat. Dit geeft hen dezelfde rechten als legale administrators, waardoor zij malware kunnen installeren, toegang krijgen tot content en data, wachtwoorden stelen en op afstand opdrachten kunnen laten uitvoeren.

Onversleutelde berichten

Harry Sintonen is Senior Security Consultant bij F-Secure. Hij ontwikkelde een proof-of-concept dat het risico bevestigt: “Eén zo’n zwakke plek is meestal niet erg, maar aanvallers die ze kunnen samenvoegen vormen een grote bedreiging. Succesvolle hackers weten dat zelfs kleine gaten in de beveiliging grote kansen bieden voor mensen met de juiste kennis.” TVS-663 NAS stuurt onversleuteld berichten naar het moederbedrijf met verzoek om firmware-updates. Dit gebrek aan encryptie biedt aanvallers de kans het antwoord te onderscheppen en aan te passen. Sintonen vermomde een valse update als firmware-update en het apparaat wilde dat automatisch installeren. En alhoewel de malafide update nooit daadwerkelijk wordt geïnstalleerd, gebruikt het de zwakke plek in het proces om het gehele systeem te ondermijnen.

“Het stelen of veranderen van data is een makkie voor een aanvaller die weet hoe hij deze kwetsbaarheden moet gebruiken, zegt Sintonen. “Hij hoeft alleen maar het apparaat te vertellen dat er een nieuwere versie van de firmware aankomt. En omdat het apparaat zelf onversleuteld om een update vraagt, is dat niet heel moeilijk om voor elkaar te krijgen. Is dat gelukt, dan heeft een aanvaller vrij spel.”

Sintonen onderzocht alleen de QNAP TVS-663 maar vermoedt dat andere modellen met dezelfde firmware dezelfde problemen hebben. “We hebben 1,4 miljoen apparaten gevonden die op dit moment dezelfde firmwareversie gebruiken. Maar heel veel mensen updaten hun firmware nooit, dus het aantal zou ook vele miljoenen hoger kunnen zijn.”

Advies voor Gebruikers

F-Secure heeft QNAP in februari 2016 op de hoogte gesteld van zijn bevindingen. Bij het schrijven van dit persbericht is het F-Secure niet bekend of QNAP het probleem heeft opgelost. Zonder een patch van het bedrijf is het niet mogelijk om kwetsbare apparaten definitief te repareren.

Beveiligingsdeskundige Janne Kauhanen van F-Secure: “Dit soort problemen zijn aan de orde van de dag voor apparaten die verbonden zijn met internet. Het goede nieuws wat betreft de QNAP’s TVS-663, is dat aanvallers zich eerst tussen de update-server en de gebruiker moeten maneuvreren. Die extra stap kost voldoende moeite om hobbyisten en ondeskundige aanvallers te ontmoedigen. We hebben echter gevallen gezien van gemotiveerde aanvallers die dezelfde beveiligingsproblemen gebruiken om phishing-campagnes voor te bereiden. Of ze verstoppen zich in het netwerk, waar ze echte schade kunnen toebrengen.”

Tot een permanente oplossing bekend is, adviseert F-Secure gebruikers van QNAP’s TVS-663 of apparaten met dezelfde firmware (TQS firmware 4.2 of nieuwer) om automatische firmware-updates uit te zetten en handmatig updates binnen te halen van veilige bronnen, tot het probleem is opgelost. Kauhanen adviseert deze aanpak voor iedereen die met een mogelijk kwetsbaar apparaat werkt of met gevoelige informatie.

De verkoper en autoriteiten zijn op de hoogte gebracht van deze kwetsbaarheid geruime tijd voor het openbaar maken ervan.

Meer over dit onderwerp kunt u vinden in het blog The IoT needs Vulnerability Research to Survive.