Nieuwe ransomware maakt mogelijk gebruik van zeroday in QNAP nas-systemen

Er gaat een nieuwe ransomware rond die nas-systemen van QNAP versleutelt en slachtoffers vraagt om een bitcoinbetaling voor het ontsleutelen. De ransomware maakt volgens de criminelen gebruik van een zeroday, die mogelijk tweefactorauthenticatie kan omzeilen.

QNAP waarschuwt gebruikers voor ransomware die nas-systemen raakt en roept gebruikers op onmiddellijk nas-systemen met een open verbinding dicht te zetten. Hun systemen zijn namelijk kwetsbaar voor wat de aanvallers DeadBolt-ransomware noemen. Enkele tientallen slachtoffers hebben zich al gemeld op het forum van QNAP.

Volgens BleepingComputer gaat het om een ransomwareaanval van de DeadBolt-groep, die bestanden versleutelt met een .deadbolt-extensie. Slachtoffers krijgen een melding op het scherm te zien dat bestanden versleuteld zijn door DeadBolt. De groep roept slachtoffers 0,03 bitcoin over te maken om de bestanden te ontsleutelen. Ook heeft het een oproep online gezet aan QNAP, waarin het stelt dat het de hoofdsleutel zal overhandigen voor de ransomware als het bedrijf 50 bitcoin betaalt.

De aanvallers zeggen dat ze een zeroday uitbuiten, maar details daarover ontbreken. Op Reddit wordt gesuggereerd dat de zeroday tweefactorauthenticatie omzeilt en back-ups verwijdert. QNAP roept met nadruk op dat gebruikers met nas-systemen die zonder versleuteling verbinding maken met het internet onmiddellijk hun systeem dienen te ontkoppelen. Gebruikers wordt daarnaast opgeroepen om port-forwarding uit te zetten.

Het is de tweede keer in korte tijd dat QNAP waarschuwt voor ransomwareaanvallen. Twee weken geleden waarschuwde het bedrijf dat steeds meer gebruikers getroffen werden door een andere ransomware, afkomstig uit 2019.

De ransomwarebrief die QNAP-gebruikers krijgen

Door Stephan Vegelien

Redacteur

26-01-2022 • 17:24

104 Linkedin Whatsapp

Submitter: ThomasJ

Reacties (104)

104
102
72
2
0
9
Wijzig sortering
Zie net een mail van QNAP:
If your NAS is exposed to the Internet, please follow the instructions below to ensure NAS security:

Step 1: Disable the Port Forwarding function of the router

Go to the management interface of your router, check the Virtual Server, NAT or Port Forwarding settings, and disable the port forwarding setting of NAS management service port (port 8080 and 443 by default).

QNAP NAS Secure

Step 2: Disable the UPnP function of the QNAP NAS

Go to myQNAPcloud on the QTS menu, click the “Auto Router Configuration”, and unselect "Enable UPnP Port forwarding".
Zowiezo waarom zou je godsnaam porten 8080 en 443 openzetten in je modem/router ? Ik heb die hele myQNAPcloud meuk standaard uit staan hier.
Ik heb hier port 443 openstaan voor de services op mijn lokale netwerk (plex, file sharing, music player, webservertje, etc) via een reverse proxy te benaderen.

Er zijn wel legitieme redenen te bedenken om het te openen hoor, als je maar zorgt dat ze goed beveiligd zijn!
Maar hoe werkt jou "goede" beveiliging tegen een zero day exploit?
Als je reverse proxy geen WAF is met redelijk beperkende instructies dan ben je waarschijnlijk alsnog de sjaak als de toegang gewoon via een achterdeurtje is te vinden.
Het enige voordeel is dat als je je tijdstip van infectie weet, je reverse proxy mogelijk de bron kan aanwijzen.
Ik denk dat de meeste tweakers het daar wel overeens zijn maar de meeste thuisgebruikers zullen zich waarschijnlijk überhaupt niet bewust zijn van hoe ze van buitenaf bij hun NAS kunnen. "Het werkt, magic!". En QNAP heeft een behoorlijke line-up aan apparaten die zich met name op de consument richt.

Het onderliggende kwaad is met name het bestaan van UPnP. Hartstikke leuk dat je met nul configuratie en geen sjoege verstand van zaken van buitenaf bij je apparatuur kan maar bewustwording van wat je doet lijkt me veel belangrijker.

Ik heb UPnP overal uit staan en gebruik een enterprise-grade VPN om in te loggen op mijn thuisnetwerk. Dan is port forwarding nergens meer voor nodig :)
Port forwarding zonder goed bron adres filter is al een dingetje. UPnP is alleen maar een geautomatisserde portforward. (ie touwtjes uit de brievenbus om de voordeur te openen).

Wireguard is voor mobiele toestellen goedkoper (in batterij duur) dan de meeste andere VPN's (IPSEC, OpenVPN, etc.) door minder onderhandeling upfront per sessie.
In de basis heb je gelijk maar ik zie UPnP dan meer een gast in je huis die - vaak zonder dat je het zelf doorhebt - uit eigen initiatief het touwtje uit je brievenbus hangt. Dat moet je toch niet willen?

Ik snap dan ook niet dat UPnP op deze manier ooit een standaard is geworden. Het minste wat het in mijn optiek had moeten doen is een aanvraag indienen bij de router die vervolgens met een handmatige handeling in de configuratie van de router goedgekeurd moet worden. Op die manier is het nog steeds min of meer gebruiksvriendelijk (althans, gebruiksvriendelijker dan volledig handmatige configuratie) en kan de router je nog een waarschuwing voorschotelen voor wat extra bewustwording.
UPnP komt dan ook uit de Microsoft koker van de jaren 90... 2005.
Alles voor de User Experience, security dat is alleen maar lastig.

NAT is "lastig" de meeste mensen snappen niet hoe wie wat en waarvoor... ==> maak het ze makkelijk automatiseer het compleet zonder lastige vragen, en zet allerlei CPE fabrikanten onder druk om het in te bouwen... zonder lastige vragen te laten stellen......
Zowiezo waarom zou je godsnaam porten 8080 en 443 openzetten in je modem/router ? Ik heb die hele myQNAPcloud meuk standaard uit staan hier.
Wanneer je zonder VPN wilt verbinden met myQNAPcloud :P
Als je niet weet hoe dit soort dingen werken. Genoeg kleine bedrijfven (1-5 mensen) die een NAS hebben zonder IT kennis. Het is niet de eerste keer dat dit gebeurt met QNAP
Haha, ook grotere bedrijven kunnen zo'n setup hebben. Ik heb gewerkt voor een IT bedrijf dat zaken deed met best grote bedrijven, inclusief een semi-overheidsinstantie en pharmaceuten, waar het applicatie landschap uiteindelijk convergeerde tot 1 Qnap.

Alles dubbel uitgevoerd, meerdere datacentra en vervolgens een qnap op kantoor zetten voor het allerbelangrijkste deel van de applicatie, zonder failsafe noch backup. Ondanks aandringen nooit geprobeerd te verbeteren (was een bandbreedte kosten kwestie).

Heb d'r niet zo lang gewerkt.
Verbaast me helaas niets haha, maar grote bedrijven hebben een minder excuus. Alles dat naar 1 NAS loopt als groot bedrijf is toch niet iets dat je wilt hebben

Kan begrijpen dat je d'r niet lang blijft
Omdat qnap zelf helpt om dat te doen. Lange tijd leken ze het kennelijk een goed idee te vinden om daar zonder waarschuwing bij te helpen (en nog steeds niet overal bij waarschuwen) en zelfs niet duidelijk lijken te zijn wanneer een gevaarlijke 'hulp' als upnp forwarding standaard in hun producten aan stond.

https://docs.qnap.com/nas...FD-A255-3E18F54CB582.html

https://docs.qnap.com/ope...FD-A255-3E18F54CB582.html

https://docs.qnap.com/ope...-forwarding-5B1E585C.html
Simpele oplossing is om twee nassen te gebruiken. Eentje van qnap en eentje van synology waar een recent back-up op staat (of andersom). En alleen backuppen wat echt belangrijk is.

Mijn meer dan 10 kan jaar oude NAS werkt prima als back-up voor mijn dagelijkse NAS
Ik gebruik van beide merken een NAS & ze synchroniseren tov. elkaar, daarnaast backup ik nog naar een externe HDD, die ik oldschool buitenshuis bewaar. Beide NASsen heb ik iig niet naar buiten toe openstaan, om dit soort ellende te voorkomen. Ik overweeg nog wel om er 1 via (Open)VPN benaderbaar te maken naar buiten toe, maar daar moet ik mij eerst in gaan verdiepen om te weten wat de pros & cons zijn, zo lijkt het mij lastig om dat goed te laten werken met synchronisatie/backup-software op mijn Smartphones.
Kijk eens naar een VPN als wireguard (energie efficienter dan OpenVPN en IPSEC, op android in een aantal gevallen met kernel integratie).

En als je synchronisatie van bv. Nextcloud gebruikt is het zelfs wat breder te trekken, dan alleen via tunnel als je wilt.
Ja, dat is op zich ook een goed alternatief, lijkt mij vooral doordat het bij veel Linux distro's al in de Kernel verwerkt zit (bij Qnap ook, meen ik...)
Klopt, en bijkomend voordeel is dat wireguard niet detecteerbaar is met port knocking.
Er is geen respons tenzij er een goed pakket aankomt. (juist poort, juiste parameters en met de juiste public key encrypted).

[Reactie gewijzigd door tweaknico op 27 januari 2022 13:52]

Afhankelijk hoe de crypto ingrijpt op je backup hoeft dat geen garantie te geven helaas. Dan zou je met niet aanpasbare backups moeten werken maar die zijn er voor de consument volgens mij nog niet zoveel.

Het is en blijft een eeuwig kat en muis spel en helaas, brengt de verspreiding van IT functionaliteit ook de bijbehorende problemen met zich mee.

Neemt niet weg dat sommige leveranciers of producenten soms meer aandacht en tijd besteden aan het oplossen van problemen of voorkomen van problemen dan anderen.
Werk zelfs met backups van qnap naar een Truenas systeem.
Dat maakt dagelijks/wekelijks/maandelijks snapshots aan en zodra de snapshots ineens in omvang toenemen dan weet ik dat er iets geks aan de hand is.
Een bijkomend voordeel is dat je ook je niet versleutelde versies nog hebt wanneer je je snapshots lang genoeg kan laten staan.
Dat was ook mijn idee...
Mijn oude configuratie (een Synology DS216 diende voor de geconnecteerde bestanden en die maakte dagelijks versioning backups naar een QNAP TS119 via RSYNC).gaf meldingen dat de schijven richting levenseinde gingen.
Dus kocht ik mij een QNAP TS230 met nieuwe schijven.
Maar ik kan van deze schijven geen backups maken richting DS216, noch TS119. HBS 3 (Hybrid Backup SYNC) werkt niet uitgaand met RSYNC (enkel binnenkomend). En je kan zelf geen scripts maken.
Om mijn gegevens van mijn DS216 naar mijn TS230 te krijgen, lukte het wel om via RSYNC te werken. Maar op mijn TS230 krijg ik geen enkele melding dat mijn NAS gegevens aan het ontvangen is. Een ticket naar QNAP leert me dat dit normaal is. Als je van QNAP naar QNAP stuurt, dan krijg je dit perfect te zien ; indien je van een andere merk stuurt, valt die info uit.
Ik had gehoopt dat ze hun fout inzien, maar... dat moet blijkbaar zo... QNAP reageert zelf niet meer dat dit een 'gevaarlijke' situatie is !
Dat is ook het gebruik bij High Availability systemen. Verschillende soorten chips en hardware + verschillende software + verschillende software teams(Die niks van elkaar mogen weten). Deze naast elkaar laten draaien en elkaar laten controleren.
Blij dat ik uiteindelijk voor Synology ben gegaan ipv QNAP dan.
Maak je geen zorgen, synology komt ook aan de beurt.

Zelf ben ik nog altijd blij dat mijn qnap gewoon niet naar buiten open staat. Niet rechtstreeks, niet via de qnap-cloud, gewoon niet.

Wel ben ik content dat qnap hier meestal groot en publiek op reageert waar de gemiddelde tweaker in ieder geval iets mee kan doen.

[Reactie gewijzigd door beerse op 26 januari 2022 17:31]

Maak je geen zorgen, synology komt ook aan de beurt
ongetwijfeld, maar als ik naar de afgelopen jaren kijk dan komt QNAP 10 a 20x keer zo vaak aan de beurt. Dat is toch wel erg opvallend.
QTS voert alles onder UID 0 uit, dus als root. Gevolgen van een kwetsbaarheid in de CGI scripts kunnen daardoor ook catastrofaal zijn

Let wel: ik weet totaal niet hoe dit bij de concurrentie is, of die wel aan privsep doen.
Het is best mogelijk dat er 10 à 20 keer zoveel QNAP devices verkocht worden?
Heb het even proberen op te zoeken (aantal devices QNAP vs synology) maar niet direct een antwoord gevonden.
Ken anders niemand met een QNAP, maar heel veel praktisch iedereen een Synology. En het is niet zo dat ze aan elkaar verteld hebben om Synology te nemen. Maar goed dat zegt niks over wereldwijde verkopen. Denk gewoon dat Synology in Nederland gewoon populairder is.
Synology is al een keer aan de beurt geweest. Gelukkig betrof dat een bitcoinminer en geen ransomware.

https://tweakers.net/nieu...-voor-minen-bitcoins.html

[Reactie gewijzigd door Mirx_NL op 26 januari 2022 17:43]

Dat zijn beide berichten van bijna 8 jaar geleden! Helaas is er met QNAP een stuk vaker iets mis:
https://www.security.nl/s...n=frontpage&keywords=qnap
Het voelt anders nog als de dag van gisteren hoor. Dat je weet dat iemand full admin heeft gehad, en je hoopt dat hij niet je halve NAS encrypt of leeg getrokken heeft.

Sindsdien doet de nas niet meer waar ik hem oorspronkelijk voor gekocht had, en staat 99% van de standaard functionaliteiten richting internet uit.

In de releasenotes komen nog voldoende exploits voorbij.
Sindsdien doet de nas niet meer waar ik hem oorspronkelijk voor gekocht had, en staat 99% van de standaard functionaliteiten richting internet uit.
Hier staan de qnaps volledig uit, zet ze remote aan voor de momenten dat ik data over een apart vlan naar/vandaan pomp. Een vpn in een dmz getermineerd waarvandaan met 2fa ssh verbindingen naar specieke portbang volgorde konstrukties in noodgevallen toch wat openzet. Better safe than sorry ... Of ik bel mijn vrouw of kinderen om even dat ene knopje op dat ene kastje daar en daar even aan te raken, redelijk secure ;)
Dat is het punt niet. Een apparaat als een NAS is niet zomaar geschikt om bereikbaar te maken voor iedereen op het internet. Dan gaat het niet alleen om de kans dat het zal gebeuren maar ook het gebrek aan zekerheid wat voor problemen in de services zitten die je bereikbaar maakt. Je kan er dus maar beter vanuit gaan dat het niet zomaar verstandig is om een NAS voor iedereen bereikbaar te maken, zeker niet als daar je meest belangrijke gegevens op staan die je juist veel waard zijn.
Ok, dan maar een belangrijke synology update van vandaag ...

Beide nassen katten software een beetje om. Als in samba een issue zit hebben ze allemaal een issue. Kennelijk vinden ransonware auteurs qnaps ineteressanter, of is daar het publiek wat sneller met betalen ?
Het in de router/firewall geen directe route hebben van buitenaf is geen zekerheid dat er geen rottigheid bij je NAS kan komen. Elk ander apparaat in hetzelfde netwerk zou potentieel een gat kunnen schieten in de firewall waarmee een indirecte aanvalsvector ontstaat.

Met steeds meer IoT devices die op internet willen, en waar weinig tot geen firmware updates voor zijn zijn in mijn ogen ook een steeds groter risico niet voor de lamp of koelkast zelf maar voor de algemene veiligheid van een netwerk.
Dan zal er eerst al op die pc/apparaat moeten geraakt worden en daarna in die router/firewall een lek moeten gevonden worden... Als die beide pistes al overwonnen worden maakt het al niet meer uit welk merk van Nas er nog in dat netwerk staat.

Neen, geen regels naar die NAS van buitenaf en geen cloudconnectie is al een zeer goede beveiliging
Oh, ook Synology heeft al aanvallen gehad, en is berucht met het niet afdwingen van 2fa, en standaard veel portforwarding open te zetten (en daarnaast updates optioneel te maken) -- de kans dat iets gebeurd is aanwezig. Hoewel het thuis-gebruik NAS-en zijn (in veel gevallen), is het wel een apparaat waar wat goed gedrag bij hoort. En hoe makkelijk all die apps, en via internet benaderen van zaken zijn, en hoe lastig updates en 2fa ook zijn... het is helaas wel iets waar je goed gedrag bij dient toe te passen. En zelfs dan heb je geen garantie: je bent afhankelijk van synology om alle libraries up-to-date te houden, en te auditen. Als ze bijvoorbeeld een OpenSSL of spectre-niveau lek missen en laat patchen... dan loop je een risico.
Ook Synology is vaak getroffen door zerodays. Al heb ik het idee dat het bij Qnap vaker voorkomt.
8 jaar geleden én op een OS-versie die toen verouderd was.

Voor QNAP zijn er nieuwsberichten van
7 januari 2022 (minder dan een maand geleden) nieuws: QNAP waarschuwt klanten met onbeveiligde nas-systemen voor ransomware...
April 2021: nieuws: QNAP: Qlocker-ransomware infecteerde gebruikers via HBS 3

Verder ook uit 2019, 2017, verder heb ik niet gekeken.

Voor synology vind ik zo direct enkel dat bericht van 8 jaar terug, op wat "we zien veel brute-force pogingen" na, wat ook bij QNAP voorkomt.

Daaruit lijkt er toch wel een verschil te zijn tussen Synology en QNAP in hoe vaak zo'n lekken voorkomen.

[Reactie gewijzigd door bertware op 26 januari 2022 18:46]

Ik ben blij dat ik gekozen heb voor een device met software dat specifiek als NAS software is ontwikkeld.
Ik heb een HP Microserver G8 met daarop TrueNAS
Daarbij heb ik mijn NAS op een apart VLAN staan waar alleen mijn 3 ProxMox compute nodes direct bij kunnen. Data op de NAS is via VM's die op ProxMox draaien benaderbaar, de NAS (software) zelf is niet zomaar benaderbaar. Daarvoor moet je eerst een device op het juiste VLAN zetten.
Wordt QNAP niet ontwikkeld als NAS software dan?

Ik ben juist blij dat ik m'n server draai op Ubuntu en daarbij dus relatief snel security updates krijg en niet afhankelijk ben van QNAP hardware/software.

Maar los van alles, als een gebruiker al z'n poorten open zet, wordt het altijd lastig.
En zeker als je geen functionaliteit wil opofferen.
Jammer dat dit soort berichten vaak een wij vs jullie gehalte krijgen. (Synology tegen Qnap, Apple vs Android).

Anyways.. zou graag zien dat ze de admin/management poort is anders zetten dan de rest. Ik gebruik Qfile regelmatig vanuit het buitenland en ben ik genoodzaakt om daar de admin poort ook open te zetten.

[Reactie gewijzigd door KL643 op 26 januari 2022 23:57]

Ik heb ook een qnap maar ik hoef niet de admin poort open te zetten om qfile te kunnen gebruiken vanaf het buitenland.
Waarom moet je dan een admin-poort open zeten ik snap het niet.

Mijn admin-account met 2FA heeft op geen enkele data shares R/W rechten.
De accounts die wel R/W rechten hebben op data shares zijn dan weer geen admin-accounts.
Voor het dagelijks gebruik is bij dus geen admin-toegang nodig. Alleen voor configureren updaten/apps installeren enz enz is het admin-account noodzakelijk.
Maar het admin-account heeft geen externe toegang, ik heb zelfs een tijdje gehad dat het admin-account alleen via een specifieke netwerkpoort op het apparaat kon en dan haalde ik van die poort de kabel eruit.
Omdat naar mijn weten de qsync / qfile poort hetzelfde zijn als de qnap managent page
Anyways.. zou graag zien dat ze de admin/management poort is anders zetten dan de rest.
Same here. Dat de admin en reguliere user interface niet beter te scheiden zijn is wel een ding. Idem met Qsync die ook via 443 gaat. Niet handig.
Ik begrijp nog steeds niet dat je een NAS die af en toe een update krijgt naar het internet open zet. De kans dat er bestanden worden gestolen/encrypt is groot in deze tijden want dat zijn de doelwitten waarop de ransomware bendes op inzetten. Ik heb ook servers rechtstreeks openstaan maar geen filesharing bv, op SSH(fs) na. Fail2ban is ook wel handig of SSHguard met een blokkeertijd van paar weken of iets in die richting voor bruteforce/dictionary aanvallen vanuit botnets.
Je hebt SSH open staan?
Je snapt dat je via SSH een console kunt krijgen?
Ik lees ook niets over SSH key-pair, je gebruikt gewoon username/password?
Maar SSH is dan wel dichtgetimmerd voor root/sudo users? Neem aan dat je via internet alleen op een 'fileshare' user kunt komen welke geen rechten heeft buiten je shared folders?
Lol. Ja ik begrijp dat je een console kunt krijgen via SSH, dat is nou net de bedoeling maar gewoon lange wachtwoorden gebruiken en af en toe is de logs doorpluizen. Ik had idd ook een keypair kunnen gebruiken maar niet echt nodig , kan handig zijn dat wel :) Sudo rechten hebben alleen bepaalde gebruikers maar een goed wachtwoord helpt een hoop, en bijvoorbeeld op een andere poort draaien van de daemon zowel als een 4096bit key ipv de standaard 2048bit.

Note: If you are using a legacy system that doesn't support the Ed25519 algorithm, use: $ ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
Ik wel
Deze dingen worden op een dusdanige manier op de markt gezet dat iedereen hem kan aanschaffen. Dus ook ome Henk. En die ome Henk die weet alleen hoe hij moet inloggen en hoe hij zijn foto’s en filmpjes erop kan zetten.
Toen ik mijn eerste nas kocht had ik ook teveel opengezet ( niet goed naar gekeken) maar ik weet nog dat ik pas 2 jaar later of zo na een update vanuit de software een veiligheid waarschuwing kreeg.
Als ik het goed overgetikt heb, zijn er nog geen slachtoffers die ook betaald hebben. 0 transacties op die wallet

bc1qcdve3qn83g44gmzrmqsces3rh2r6qm93j9jcul
Vaak gebruikt dit soort randsom software een aparte wallet per infectie.
Elk slachtoffer krijgt een ander adres... Voor een klant zijn privé qnap zojuist 0.003 overgemaakt en je krijgt inderdaad je key.
Niet aan gedacht.

Zijn jullie er al achter wat jouw klant ‘verkeerd’ heeft gedaan? Is het alleen port forwarding? Of gaat het om een combinatie met simpel wachtwoord, geen updates etc? Kun je ook wat terug zien in de logs mbt toegang?
Heb je de key ook beschikbaar voor onze lezers?
Vaak gebruikt dit soort randsom software een aparte wallet per infectie.
En uiteraard een aparte key...
X

[Reactie gewijzigd door Byffie op 26 januari 2022 22:16]

goed om te weten, ben in het process voor een klant
De klant heeft het betaald, hij heeft het enkel overgemaak. Blijkbaar zou de schade groter zijn dan de 0.0003 btc, toch logisch dat die dan betaald, of zou jij kiezen voor duizenden euro's schade met wellicht ernstige gevolgen voor je bedrijf aan toe, en uit principe die 100 euro btc niet overmaken?
Wordt steeds minder, 0.03 btc in het artikel, 0.003 in de reactie, 0.0003 in de reactie daarop. Veel mensen met een QNAP zeker, waardoor DeadBolt lagere tarieven kan hanteren ;)
Een degelijke backup draaien en deze op meerdere locaties weg schrijven.
Niet betalen. Je verlies nemen en volgende keer nadenken over een goeie backup.
Tja, zo werkt de echte wereld niet. Je betaalt en in het meest gunstige geval gaan 'ze' dan nadenken over een goeie backup.

Het heeft voor jezelf geen zin om extra verlies te nemen om niet te betalen.
Klinkt goed als het paar fotos zijn maar als je hier als bedrijf je projecten op hebt staan dan heb je geen keus, het is betalen of failliet gaan
Het ging toch om een privé-NAS? ;)
Bij mijn klant helaas niet :'(
Bestanden delen met de buitenwereld wordt nu knap lastig. De QNAP de deur uitzetten en Onedrive oid nemen is dan beter en veiliger. Voor nu heb ik de QTS interface via een reverse proxy (nginx via docker) ontsloten op port 443. Uiteraard eerst basic authentication voordat je überhaupt de QTS admin/file station interface te zien krijgt. Niet charmant wel veilig. Uiteraard plaats ik dit hier om te zien wat anderen hiervan vinden, is het zo veilig?
Uiteraard plaats ik dit hier om te zien wat anderen hiervan vinden, is het zo veilig?
Voor zover je op basic authentication van nginx kunt 'vertrouwen' in principe wel. Maar het is natuurlijk een beetje een 'dubbele voordeur' idee.

ik heb vooralsnog toegang van buitenaf even dicht gezet, in afwachting van meer details over de zeroday. Morgen ga ik als tussenoplossing even via een Qnap ID inloggen via de MyQnapCloud website die als proxy dient. Als dat een beetje werkbaar is dan maar ff zo.

Ik ga nog wel ff broeden op een alternatief. 3 verschillende logins met 5 verschillende tools en interfaces per user krijg hier thuis niet meer uitgelegd (Qsync, Qfile, Qvpn, File Manager, SMB etc)
Tja, ze moeten dan een zero-day in QNAP én Nginx combineren?

Het is niet onmogelijk, als de aanval gericht is op specifiek jou infrastructuur, maar dan heb je überhaupt een probleem.
Maar in dit geval ontkom je waarschijnlijk wel aan deze 'massa aanval'.

Basic auth is ook alleen een beetje nuttig als je via TLS/SSL communiceert en je password niet te raden valt.

Ik heb overigens wel meer vertrouwen in Nginx dan in QNAP, maar als je het niet juist configureert is alles onveilig.

[Reactie gewijzigd door FuaZe op 27 januari 2022 07:00]

Zelf heb ik 443 op mijn qnap nas open staan voor QSync zodat ik extern ook met mijn laptop bestanden kan syncen naar mijn nas en vervolgens de thuis pc. Voor nu zal ik dus 443 dicht zetten, echter hoe gaan jullie hier mee om / wat is de beste manier om wel extern QSync te gebruiken zonder dat 443 als port forward aanwezig is?
Ik heb via een ander kastje (oude passief gekoelde mini pc, maar een raspberry werkt ook prima) wireguard draaien (je kunt beter geen VPN van QNAP zelf gebruiken). De rest van het gezin kan via de VPN de bestanden syncen indien nodig. Zowel ikzelf als mijn zoon hechten daar waarde aan. Alleen is het niet handig! De kans is groot dat ik binnen afzienbare tijd het gezin overzet op Onedrive. De QNAP wordt dan alleen nog gebruikt als plex server en voor de foto opslag (inclusief RAW bestanden).

[Reactie gewijzigd door glatuin op 27 januari 2022 11:50]

Voor wie ook niet zo bekend is met de koers van de bitcoin:
  • 0,03 BTC is zo'n €1000
  • 50 BTC is €1,69 mln
Gelukkig is de ransom morgen 10% lager ofzo :P
Mocht je gehackt worden, wacht een weekje en je krijgt korting.
Voor mij is het nooit duidelijk of je de toegang ook moet sluiten als je je NAS via de meegeleverde OpenVPN-server benadert of gaat dit alleen over poort 80?

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee