'Aanvallers kunnen dankzij kwetsbaarheden in de automatische firmware-updates de administratieve controle grijpen over het apparaat. Dit geeft hen dezelfde rechten als legale beheerders, waardoor zij malware kunnen installeren, toegang krijgen tot content en data, wachtwoorden kunnen stelen en op afstand opdrachten kunnen laten uitvoeren', aldus de security-onderzoekers.
Harry Sintonen, senior security consultant bij F-Secure, ontwikkelde een proof-of-concept dat het risico bevestigt: 'Eén zo’n zwakke plek is meestal niet erg, maar aanvallers die ze kunnen samenvoegen vormen een grote bedreiging. Succesvolle hackers weten dat zelfs kleine gaten in de beveiliging grote kansen bieden voor mensen met de juiste kennis.' Volgens Sintonen stuurt TVS-663-nas onversleutelde berichten naar het moederbedrijf met verzoek om firmware-updates. 'Dat gebrek aan encryptie biedt aanvallers de kans het antwoord te onderscheppen en aan te passen.'
Sintonen vermomde een valse update als firmware-update en het apparaat wilde dat automatisch installeren. 'Hoewel de malafide update nooit daadwerkelijk wordt geïnstalleerd, gebruikt het de zwakke plek in het proces om het gehele systeem te ondermijnen', stelt hij.
1,4 miljoen apparaten
Volgens de security consultant is het stelen of veranderen van data een makkie voor een aanvaller die weet hoe hij deze kwetsbaarheden moet gebruiken. 'Hij hoeft alleen maar het apparaat te vertellen dat er een nieuwere versie van de firmware aankomt. En omdat het apparaat zelf onversleuteld om een update vraagt, is dat niet heel moeilijk om voor elkaar te krijgen. Is dat gelukt, dan heeft een aanvaller vrij spel.'
F-Secure onderzocht alleen de QNap TVS-663, maar vermoedt dat andere modellen met dezelfde firmware dezelfde problemen hebben. 'We hebben 1,4 miljoen apparaten gevonden die op dit moment dezelfde firmwareversie gebruiken. Maar heel veel mensen updaten hun firmware nooit, dus het aantal zou ook vele miljoenen hoger kunnen zijn', aldus Sintonen.
De ict-beveiliger heeft QNap in februari 2016 op de hoogte gesteld van zijn bevindingen. Het stelt dat daarmee de verkoper en autoriteiten geruime tijd voor het openbaar maken van de kwetsbaarheden op de hoogte zijn gebracht. Ten tijde van het versturen van het persbericht over de kwetsbaarheden is het bij F-Secure niet bekend of QNap het probleem heeft opgelost.
Firmware-update
Het securitybedrijf stelt dat het zonder een patch niet mogelijk is om kwetsbare apparaten definitief te repareren. Beveiligingsdeskundige Janne Kauhanen van F-Secure: 'Dit soort problemen zijn aan de orde van de dag voor apparaten die verbonden zijn met internet. Het goede nieuws wat betreft de QNAP’s TVS-663, is dat aanvallers zich eerst tussen de update-server en de gebruiker moeten manoeuvreren. Die extra stap kost voldoende moeite om hobbyisten en ondeskundige aanvallers te ontmoedigen. We hebben echter gevallen gezien van gemotiveerde aanvallers die dezelfde beveiligingsproblemen gebruiken om phishing-campagnes voor te bereiden. Of ze verstoppen zich in het netwerk, waar ze echte schade kunnen toebrengen.'
Tot een permanente oplossing bekend is, adviseert F-Secure gebruikers van QNap’s TVS-663 of apparaten met dezelfde firmware (TQS firmware 4.2 of nieuwer) om automatische firmware-updates uit te zetten en handmatig updates binnen te halen van veilige bronnen, tot het probleem is opgelost. Kauhanen adviseert deze aanpak voor iedereen die met een mogelijk kwetsbaar apparaat of met gevoelige informatie werkt.
Om te kunnen beoordelen moet u ingelogd zijn: