Manipulierte Hosts: NAS-Systeme von QNAP mit unbekannter Malware infiziert
Zahlreiche Nutzer von NAS-Systemen von QNAP haben sich in den letzten Wochen mit Problemen bei Softwareupdates auf ihren NAS zu Wort gemeldet. Diese ließen sich ebensowenig wie die Installation von Anti-Malware-Apps durchführen. Schuld ist eine Malware, die die Hosts-Datei editiert und mit rund 700 Einträgen umleitet.
Dies ist allerdings zunächst nur ein offensichtliches Symptom der Malware, die alle Einträge in der Hosts-Datei unter „/etc/hosts“ auf die IP-Adresse 0.0.0.0 umleitet, so dass beispielsweise Updates von Antiviren-Software ins Leere laufen. Aber auch die hauseigene Software von QNAP, der MalwareRemover, ist von den Problemen betroffen und Firmware-Updates sollen auf den betroffenen NAS-Systemen auch nicht durchgeführt werden können. Nach einem manuellen Entfernen der Einträge aus der Hosts-Datei sollen zwar die Updates der installierten Apps wieder funktionieren, nach einem Neustart des NAS-Systems sind die Einträge aber wieder vollumfänglich vorhanden, so Nutzer im Forum von QNAP. Der eigentliche Sinn und Zweck der Malware, die so vermutlich nur unentdeckt bleiben wollte, ist noch nicht bekannt.
Shell-Script soll Probleme beheben
Die Nutzer hatten sich in den vergangenen Wochen bei QNAP mit den Problemen gemeldet, woraufhin das Unternehmen einzelnen Betroffenen den Kommandozeilenbefehl „curl https://download.qnap.com/Storage/tsd/utility/derek-be-gone.sh | sh“ mitteilte, durch dessen Shell-Script-Aufruf das Problem behoben werden soll. Es löscht die Malware, die sich selbst mit Setzen des Immutable-Bit vor Änderungen durch Benutzer mit Root-Rechten versucht zu schützen, deinstalliert dann den MalwareRemover und führt eine Neuinstallation durch. Einigen Nutzern wurde vom Support dabei auch gesagt, dass ihr NAS-System Ziel eines Angriffs geworden sei, weshalb alle Passwörter des Systems und im Netzwerk geändert werden sollten.
Betroffene Systeme und Firmware unbekannt
Ob alle NAS-Systeme von QNAP unabhängig ihrer Architektur potentiell betroffen sind, ist noch nicht bekannt. Sicher ist aber, dass x86-basierte Systeme gefährdet sind. Auch ob sich die Gefahr auf eine inzwischen veraltete Firmware einschränken lässt, ist mangels Informationen von QNAP bislang nicht sichergestellt.
QNAP schweigt
QNAP selbst hat sich bislang nicht öffentlich zu den Fällen geäußert und auch keine Warnung oder Hilfestellung veröffentlicht, was einigen Nutzern im Forum von QNAP bereits negativ aufstößt. So müssen sich derzeit die Nutzer untereinander mit Lösungen helfen und all jene, die sich nicht an QNAP wenden, erfahren von einer etwaigen Infizierung ihres NAS weiterhin nichts.
QNAP hat die Infizierung der eigenen NAS-Systeme durch die unbekannte Malware heute mit einem Sicherheitshinweis bestätigt und arbeitet mit Hochdruck an einer Lösung. Kunden sollen von nun an stetig über Neuigkeiten informiert werden. Einzelheiten zur Malware und wie diese auf das NAS gelangt, hält der Sicherheitshinweis derzeit noch nicht bereit. QNAP empfiehlt allen Nutzern derzeit lediglich ein Update des Malware Removers, des QTS-Betriebssystems und aller installierten Apps auf die neuesten Versionen, was aber nur solange möglich ist, solange die Malware nicht eingeschleust und die Hosts-Datei nicht verändert wurde.
A recently reported malware is known to affect QNAP NAS devices. We are currently analyzing the malware and will provide the solution as soon as possible. If you have any questions regarding this issue, please contact us through the QNAP Helpdesk.
QNAP
Fabian
Jan-Frederik