LUIS News
Sicherheitslücken in “netatalk” auf NAS-Systemen von QNAP und Synology

Sicherheitslücken in “netatalk” auf NAS-Systemen von QNAP und Synology

In NAS-Systemen von QNAP und Synology existieren in der Implementierung von „netatalk“ mehrere Sicherheitslücken. Updates sind teilweise verfügbar und sollten eingespielt werden, alternativ gibt es auch Workarounds.

Was ist betroffen?

  • NAS-Systeme (Network Attached Storage) von Synology mit verschiedenen Softwareständen. Die genaue Liste der betroffenen Systeme kann hier eingesehen werden.
  • NAS-Systeme von QNAP mit verschiedenen Softwareständen. Die genaue Liste der betroffenen Systeme kann hier eingesehen werden.
  • Es sind nur Systeme von QNAP und Synology betroffen, bei denen die Unterstützung für das AFP (AppleFileProtocol) aktiviert ist.

Worum geht es?

Um Apple-Geräte (wie Macbooks) anbinden zu können, nutzen NAS-Systeme von QNAP und Synology eine Softwarekomponente namens “netatalk”. Diese wird in einer nicht mehr aktuellen Version eingesetzt, die mehrere Sicherheitslücken enthält. Sofern diese aktiviert ist, kann über diese beliebiger Programmcode von außen eingeschleust und damit das Gerät übernommen werden.

Was ist zu tun?

Verfügbare Updates sollten schnellstmöglich installiert werden.

Für einige Softwareversionen stehen noch keine Updates bereit, die Hersteller wollen diese nach und nach veröffentlichen. In einem solchen Fall sollte als Workaround die Kompatibilität mit Apple-Geräten (genauer: die AFP-Funktion) vorübergehend deaktiviert werden, damit die angreifbare Softwarekomponente gar nicht erst geladen wird. Sobald eine Aktualisierung existiert, kann diese Änderung wieder rückgängig gemacht werden.

Es ist darauf hinzuweisen, dass verfügbare Updates u.U. nicht automatisch eingespielt werden (z.B. bei den gerade verfügbaren Updates von Synology, Stand 29.04.2022). In diesem Fall muss die Aktualisierung manuell durchgeführt werden. Verfügbare Updates sowie Instruktionen für das (manuelle) Einspielen verfügbarer Updates finden Sie in den unten verlinkten Seiten von Heise, QNAP und Synology.

Wie kritisch ist die Lücke?

Ein nicht-authentifizierter Angreifer kann von außen potentiell das System übernehmen, sofern die Unterstützung von AFP (AppleFileProtocol) aktiviert ist (oft aktiviert, um die Kompatibilität mit Apple-Geräten zu gewährleisten) und das NAS-System erreichbar ist. Insbesondere sollten NAS-Systeme betrachtet werden, die Netzlaufwerke für mehrere Endgeräte bereitstellen.

Weitere Informationen:

Fragen richten Sie bitte an security@luis.uni-hannover.de .