Kurztipp: Heartbleed und kein Ende

Denen, die NAS Systeme zu hause betreiben und das Webinterface aus Bequemlichkeit von 0/0 erreichbar gemacht haben, sei gesagt: Euer NAS ist höchstwahrscheinlich auch vom Heartbleed Bug betroffen.

Getestet habe ich bisher nur ein altes QNAP 219 mit Version 4.05 und ein QNAP 469L mit 4.06. Ich denke aber, dass so ziemlich jedes QNAP NAS (Synology & co sicherlich auch) mit der 4er Firmware betroffen ist. Updates habe ich bisher noch keine dafür gesehen. Am besten also den Zugriff beschränken oder komplett von außen sperren. Problematisch wird es bei billig NAS Systemen, wo Softwareupdates eher die Ausnahme sind. Das gleiche gilt natürlich auch für eure Raspberry Pis & co. Bei Raspbmc ist ein komplettes upgrade/ dist-upgrade eher nicht zu empfehlen. Da sollte ein

apt-get update && sudo apt-get --only-upgrade install openssl

reichen. Da kommt sicherlich noch viel mehr und das Netz wird zur Zeit voll von Scans sein. Mich würde interessieren ob ein massiver Scan auf verwundbare Systeme irgendwelche Auswirkungen zeigt, also Anstieg der Load zum Beispiel.
Ist man neugierig wer so alles den Heartbleed Bug bei seinen Systemen versucht kann folgendes versuchen:

# Log rules
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

# Block rules
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

Die erste Regel logt Versuche nach syslog (oder /varog/warn bei Suse), die zweite sperrt 443 für Exploit Versuche (via https://plus.google.com/+MatthewSummers/posts/jiZdHvuHq69 und zu finden unter http://seclists.org/fulldisclosure/2014/Apr/109)

….ach da kommt bestimmt noch viel mehr in naher Zukunft.

update: Mittlerweile gibt es die FW4.07 für das QNAP 469L, damit ist die Lücke geschlossen. Für das QNAP 219 gibt es leider nichts.

 

10. April 2014
Tags: , | 4 comments

Comments (4)

  1. was für eine OpenSSL Version läuft den auf deinem NAS?
    Hier auf meiner QNAP TS 212 mit aktueller Firmware läuft 0.9.8 und laut folgendem Artikel: http://www.golem.de/news/openssl-wichtige-fragen-und-antworten-zu-heartbleed-1404-105740.html

    ist diese Version wohl nicht betroffen.
    Hast du das NAS direkt auf den Fehler getestet?

  2. Hallo,

    Schöner Artikel.

    Von QNAP gibt es eine offizielle Aussage.
    http://forum.qnapclub.de/viewtopic.php?f=25&t=30322

    Danach sind alle Boxen mit der Firmware 4.0.x – 4.1 davon betroffen.
    Eine Lösung gibt es derzeit nur für die FW 4.1.

    QNAP arbeitet daran das Problem zu lösen.

  3. Direkt getestet und wie geschrieben waren 4.05 auf der 219 und 4.06 auf der 469 betroffen. Was bei der 212 aktuell bedeutet weiss ich nicht ;-). Die meisten FW Versionen werden auch nicht bei der automatischen Aktualisierung angezeigt. Ich update immer manuell alle x Monate.

  4. die iptables rule blockiert den heartbeat ansich. das meiste das damit geloggt wird sind clients die heartbeat unterstützen.
    im endeffekt wird die funktion ansich damit abgeschaltet, was auf einem gepatchten system keinen sinn mehr macht – nach aktuellem sachstand.

Leave a Reply

Required fields are marked *