Tag Archives: heartbleed

Kurztipp: Heartbleed und kein Ende

Denen, die NAS Systeme zu hause betreiben und das Webinterface aus Bequemlichkeit von 0/0 erreichbar gemacht haben, sei gesagt: Euer NAS ist höchstwahrscheinlich auch vom Heartbleed Bug betroffen.

Getestet habe ich bisher nur ein altes QNAP 219 mit Version 4.05 und ein QNAP 469L mit 4.06. Ich denke aber, dass so ziemlich jedes QNAP NAS (Synology & co sicherlich auch) mit der 4er Firmware betroffen ist. Updates habe ich bisher noch keine dafür gesehen. Am besten also den Zugriff beschränken oder komplett von außen sperren. Problematisch wird es bei billig NAS Systemen, wo Softwareupdates eher die Ausnahme sind. Das gleiche gilt natürlich auch für eure Raspberry Pis & co. Bei Raspbmc ist ein komplettes upgrade/ dist-upgrade eher nicht zu empfehlen. Da sollte ein

apt-get update && sudo apt-get --only-upgrade install openssl

reichen. Da kommt sicherlich noch viel mehr und das Netz wird zur Zeit voll von Scans sein. Mich würde interessieren ob ein massiver Scan auf verwundbare Systeme irgendwelche Auswirkungen zeigt, also Anstieg der Load zum Beispiel.
Ist man neugierig wer so alles den Heartbleed Bug bei seinen Systemen versucht kann folgendes versuchen:

# Log rules
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

# Block rules
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

Die erste Regel logt Versuche nach syslog (oder /varog/warn bei Suse), die zweite sperrt 443 für Exploit Versuche (via https://plus.google.com/+MatthewSummers/posts/jiZdHvuHq69 und zu finden unter http://seclists.org/fulldisclosure/2014/Apr/109)

….ach da kommt bestimmt noch viel mehr in naher Zukunft.

update: Mittlerweile gibt es die FW4.07 für das QNAP 469L, damit ist die Lücke geschlossen. Für das QNAP 219 gibt es leider nichts.