QNAP heeft van het weekend een update aan zijn QTS-firmware uitgebracht, waar veel van zijn nas-apparaten op draaien. De patch dicht een kwetsbaarheid die het mogelijk maakte voor een aanvaller om met een mitm-aanval gebruikersgegevens te stelen.

QTS 4.2.3 build 20170121 is de versie waarin het euvel opgelost moet zijn. Naar schatting van F-Secure, dat het probleem aan het licht bracht, draaien meer dan 1,4 miljoen apparaten in de praktijk op de QTS-firmware. Het is echter niet bekend hoeveel verschillende modellen precies op QTS draaien en of deze op het moment van schrijven ook allemaal al de nieuwste versie van het os kunnen downloaden.

Het Finse securitybedrijf F-Secure maakte de kwetsbaarheid vorige week wereldkundig. Op dat moment zaten de beveiligingsgaten nog steeds in de QNAP-producten. Hoewel het normaal gesproken niet de bedoeling is om een dergelijk gevaar aan de grote klok te hangen voordat het opgelost is, zeggen de Finnen dat ze het beveiligingsgat al bijna een jaar geleden bij QNAP hadden gemeld, maar dat er sindsdien niets gebeurd was.

Het probleem met QTS was dat er zonder versleuteling door de nas-apparaten contact gezocht werd met de updateserver. Als dit verzoek onderschept werd en een vervalste reactie teruggestuurd wordt, kon een valse firmware-update geïnstalleerd worden die een aanvaller van buitenaf beheerdersrechten geeft, waarna hij of zij vrij spel heeft en bijvoorbeeld gevoelige gegevens van een eigenaar kan stelen.

Reacties mogelijk gemaakt door CComment