Vorige week onthulde een klant een ernstige TerraMaster NAS-kwetsbaarheid die het bedrijf nog moet repareren. TerraMaster beweert dat hun NAS-systemen alleen beschikbaar zijn op een lokaal netwerk. Het blijkt echter dat hun NAS-systemen via het UPnP-protocol over het hele internet toegankelijk zijn. Universal Plug and Play (UPnP) wordt gebruikt door een oneindig aantal netwerkapparaten, waaronder NAS, routers, computers, gameconsoles, printers, mobiele apparaten, IoT-apparaten en nog veel meer.
Vorige week onthulde een klant een ernstige TerraMaster NAS-kwetsbaarheid die het bedrijf nog moet repareren. TerraMaster beweert dat hun NAS-systemen alleen beschikbaar zijn op een lokaal netwerk. Het blijkt echter dat hun NAS-systemen via het UPnP-protocol over het hele internet toegankelijk zijn. Universal Plug and Play (UPnP) wordt gebruikt door een oneindig aantal netwerkapparaten, waaronder NAS, routers, computers, gameconsoles, printers, mobiele apparaten, IoT-apparaten en nog veel meer.
Lees meer - 4 stappen voor een Veilige NAS
De kwetsbaarheid via UPnP kan niet-geverifieerde gebruikers toelaten, waardoor ze op afstand uw gegevens kunnen binnendringen en extraheren, uw lokale netwerken kunnen scannen of zelfs uw apparaten kunnen laten deelnemen aan DDoS-aanvallen. We hebben contact opgenomen met Kevin Norman, de TerraMaster-gebruiker achter deze recente ontdekking. Hij deelde met ons zijn mening over deze blootstelling, aanvullende details en ook enkele van de e-mails die naar het bedrijf zijn gestuurd, waarin hij de bevindingen beschrijft.
Wat is UPnP?
Laten we eerst eens kijken naar een bijbehorend en traditioneel scenario; aangezien we lezers krijgen met alle achtergronden en domeinen, is het belangrijk om bij de basis te beginnen. Telkens wanneer u een USB-apparaat, zoals een muis, toetsenbord of draagbare harde schijf, op uw computer aansluit, gebruikt u Plug and Play (PnP). Uw apparaat wordt direct herkend in uw hele computer; PnP bespaart u de moeite om handmatig aanvullende configuraties uit te voeren. Net als bij PnP helpt Universal Plug and Play (UPnP) bij het detecteren van netwerkapparaten in uw lokale netwerk. Het is (voornamelijk) bedoeld voor residentiële en SOHO draadloze netwerken. Typische scenario's zijn het aansluiten van een router, spelsysteem, NAS of printer, waarbij deze apparaten onmiddellijk worden herkend door uw pc en andere apparaten.
UPnP is handig, waardoor meerdere apparaten snel clients kunnen vinden via uw lokale netwerk. En net als PnP vermindert het de complexiteit van het instellen van nieuwe apparaten drastisch. UPnP kan echter ook automatisch worden aangepast door je router, waardoor apparaten toegang krijgen buiten je lokale netwerk. Met behulp van een ander populair protocol, Internet Gateway Device (IGD), kan een UPnP-client het externe IP-adres voor uw netwerk verkrijgen en nieuwe port forwarding-toewijzingen toevoegen als onderdeel van het installatieproces. Deze methode klinkt misschien interessant vanuit het perspectief van de consument, maar dit voordeel maakt ook misbruik van kwetsbaarheden en grootschalige aanvallen. UPnP is in wezen ontworpen om te worden gebruikt in vertrouwde lokale netwerken, waar het protocol geen enkele vorm van authenticatie of verificatie hoeft te implementeren.
"Het UPnP-protocol implementeert standaard geen authenticatie, dus UPnP-apparaatimplementaties moeten de aanvullende Device Protection-service implementeren, of de Device Security Service implementeren. Een niet-standaard oplossing genaamd UPnP-UP (Universal Plug and Play – User Profile) stelt een uitbreiding voor om gebruikersauthenticatie en autorisatiemechanismen voor UPnP-apparaten en -toepassingen mogelijk te maken. Veel UPnP-apparaatimplementaties missen authenticatiemechanismen en gaan er standaard van uit dat lokale systemen en hun gebruikers volledig betrouwbaar zijn."
TerraMaster NAS-kwetsbaarheid ontdekt via UPnP
TerraMaster Technology Co., Ltd. is een Chinees bedrijf dat gespecialiseerd is in computersoftware, network-attached storage en direct-attached storage. Onlangs publiceerde Kevin Norman een blogpost het onthullen van een kwetsbaarheid in het UPnP-protocol van TerraMaster die snel wijdverbreid was Reddit en Hacker News. Kevin, een software-ingenieur uit het VK, zei dat hij zijn bezorgdheid in februari van dit jaar via e-mail aan TerraMaster had gemeld nadat hij onafhankelijk enkele tests had uitgevoerd.
Kevin vond de UPnP-kwetsbaarheid met behulp van een TerraMaster F2-210. De ontdekking wekte waarschijnlijk zijn aandacht vanwege zijn bewustzijn en bezorgdheid over het gebruik van UPnP-protocollen, zoals hij in enkele andere van zijn artikelen had verklaard en geciteerd.
NAS en vele andere netwerkapparaten worden gewoonlijk beheerd met behulp van een webinterface, die vaak dezelfde GUI is. In het geval van TerraMaster gebruikt het het TerraMaster-besturingssysteem (TOS) om de NAS te bedienen. Dit besturingssysteem vraagt u om toegang te krijgen tot de GUI door de hostnaam van de NAS op uw netwerk te bezoeken via poort 8181. De systeeminterface beweert openlijk dat de NAS niet openbaar toegankelijk is.
Kevin legt echter uit dat hij na een paar dagen installeren van de NAS ontdekte dat hij deze kon bereiken via zijn openbare IP-adres, ook al had hij niets geportforward. Nog een keer gaf de GUI aan dat de NAS alleen toegankelijk was vanaf het lokale netwerk.
Hij inspecteerde de port forwarding-regels van zijn router en stelde vast dat de NAS vier poorten blootlegde met behulp van UPnP. Het werd niet alleen blootgesteld aan het externe netwerk via poort 8181, maar ook via poort 5443. Andere poorten, zei Kevin, zijn de 9091 en 8800, waarvoor hij geen verklaring kon vinden. Poort 9091 wordt over het algemeen gebruikt voor Portainer, een tool voor containerbeheer voor Docker, die hij niet op de NAS had geïnstalleerd.
Hij vermoedde dat TerraMaster-ontwikkelaars deze poorten gebruikten en mogelijk vergaten ze de configuratie te verwijderen om ze te punchen voordat ze de software uitbrachten. “Het lijkt erop dat sommige van deze regels mogelijk zijn overgelaten aan het ontwikkelingsproces. Kevin merkte op: “Ik vertrouw erop dat deze NAS betrouwbare hardware is; ik betwijfel echter of ik de webinterface vertrouw op het open internet. Over het algemeen is het een goede gewoonte om toch zo min mogelijk bloot te stellen aan het openbare internet!"
Bovendien probeerde hij de webserverpoort te veranderen in iets anders vanaf 8181. Het systeem stuurt de nieuwe poort door, maar laat de oude poort nog steeds vrij. Hier besloot hij contact op te nemen met TerraMaster om te proberen erachter te komen wat er aan de hand was.
TerraMaster-reactie en oplossing
Kevin nam contact op met het bedrijf, maar er waren geen aanbevelingen om op te letten of een oplossing van hen om dit probleem snel op te lossen. Kevin ging er in zijn eentje op uit en vond root-toegang tot de router, die hij altijd zelf had uitgegraven. Hij spreekt zijn waardering uit voor TerraMaster voor het op zijn minst bieden van root-toegang.
Na toegang via SSH tot de NAS en het gebruik van de root om het bestandssysteem te verkennen, werd een bestand ontdekt dat kon worden gewijzigd. De "/etc/upnp.json”-bestand laat zien dat het een lijst met regels voor port forwarding bevat. Een snelle oplossing van Kevin was om dit bestand aan te passen. Hij zei: "Verander gewoon bEnable naar 0 voor alle poorten die je niet wilt laten zien, start de NAS opnieuw op en controleer de regels voor het doorsturen van poorten."
"Dit lost het probleem bijna volledig op; het lijkt er echter op dat de poorten 8181 en 5443 geperforeerd blijven, maar resulteren in een 404 (fout) omdat we de webserver eerder hebben verplaatst.” beschrijft Kevin. “Dit is beter dan voorheen, maar nog steeds niet perfect. Ik wacht op verdere instructies van Terramaster/een software-update"
Houd er rekening mee dat Kevin een Software Engineer is. En zoals velen in de IT-industrie, begrijpt hij en is hij zeer vertrouwd met netwerken, coderen en algemene IT-concepten. Maar zijn vele anderen die dat niet doen. Gewone gebruikers kunnen een systeem niet betreden en geavanceerde parameters wijzigen, zelfs niet nadat ze het hebben gegoogeld.
Zonder in te gaan op meer technische details, als u zich echt zorgen maakt over deze UPnP, moet u deze uitschakelen, in ieder geval totdat u verder onderzoek en overleg doet. Kevin koos uiteindelijk ook voor deze optie.
Een uitgebreid advies en reactie van de gemeenschap
Na contact met Kevin schreef hij ons terug en hij was erg aardig om zijn mening over deze kwestie toe te lichten. Hij schreef er ook nog een blogpost waar hij zijn mening over deze kwestie voortzet. Nadat hij de kwetsbaarheid had blootgelegd en gepubliceerd, ontving Kevin verschillende berichten van de gemeenschap, waarvan vele zijn standpunt over UPnP en TerraMaster ondersteunden. Anderen waren het er niet mee eens.
Hij vertelde ons, en schreef later ook in zijn blog, het volgende: “Sommigen stellen voor om UPnP uit te schakelen op je lokale router, maar persoonlijk geloof ik dat dit soort het punt mist. Ik ben een software-ingenieur die regelmatig bezig is met infrastructuur (Kubernetes en dergelijke) - en daarom heb ik een idee van wat ik aan het doen ben. Daarom 'kon' ik UPnP uitschakelen. Deze NAS-producten zijn niet echt bedoeld om te worden verkocht aan mensen zoals ik, denk ik, ze zijn meer gericht op de gemiddelde consument, die geen idee heeft wat port forwarding of UPnP is.”
We zijn het hier met Kevin eens, zoals we schreven en ook uitlegden in het bovenstaande gedeelte.
Hij vervolgde:
"Door UPnP uit te schakelen, wordt dit specifieke beveiligingslek zeker gedicht, maar als we even in de echte wereld leven, zal de overgrote meerderheid van consumentenrouters deze functie hebben ingeschakeld, en daarom zal de overgrote meerderheid van deze NAS-producten in het wild zichzelf waarschijnlijk onbewust blootgeven .”
"Anderen stellen voor een nieuwe router te kopen die het hebben van twee afzonderlijke LAN-netwerken ondersteunt, zodat deze NAS op een LAN kan worden geplaatst dat directe toegang tot internet wordt ontzegd/geen UPnP heeft. Dit is nog belachelijker om van consumenten te verwachten. Ik zou het kunnen, en misschien in de toekomst, maar ik heb momenteel niet echt de behoefte om mijn netwerkapparatuur te upgraden; het werkt, en ik ben er blij mee, en mist opnieuw een beetje het punt om dezelfde redenen die ik hierboven heb beschreven."
"Dit is waarom ik in het apparaat zelf ging speleologie. Gelukkig biedt TerraMaster root op deze dozen, wat aardig van ze is. Dit bracht me ertoe de oplossing te ontdekken die ik deed."
Ook voegt hij een extra ontdekking, door een andere TerraMaster-gebruiker, toe aan de NAS. Een andere exploit met betrekking tot de TerraMaster, die ging over het lekken van het beheerderswachtwoord, werd achtergelaten in de opmerkingen van Hacker News. https://news.ycombinator.com/item?id=26683488.
De gebruiker "kotsec" beweert:
"U zou op dit moment GEEN TerraMaster NAS internetgericht moeten hebben. Ik heb vorige maand een bug onthuld aan TerraMaster die nog steeds niet is opgelost. '
"Ga naar http://NAS_IP/module/api.php?wap/ en het geeft je beheerderswachtwoord uit als een md5crypt-hash. Waarom? Ik neem aan dat het een soort backdoor/dev-code is, maar ik weet het niet."
Dus, moet u UPnP gebruiken?
Er zou in wezen niets mis moeten zijn met het gebruik van UPnP. Het lijkt er echter op dat deze protocollen veel beveiligingsproblemen hebben. Dit is niet het eerste geval dat wordt gemeld over de kwetsbaarheid van UPnP; een aantal andere in de afgelopen jaren is gerelateerd aan routers, andere netwerkapparaten en lokale netwerken.
Meestal worden aanvallen op UPnP-kwetsbaarheden niet uitgevoerd tegen thuisgebruikers, maar tegen SOHO en SMB. Toch zou het kunnen gebeuren. De NAS mag in ieder geval niet het apparaat zijn dat om forwards van het openbare internet vraagt. Kevin en andere TerraMaster-gebruikers wachten nog steeds op een oplossing of patch om dit probleem op te lossen.
Het lijkt erop dat het dilemma van het al dan niet uitschakelen van UPnP geheel aan jou is; het handelt veiligheid voor het gemak. UPnP ingeschakeld in uw router kan veel van uw apparaten en applicaties blootstellen aan internet, maar tegelijkertijd maakt het het gemakkelijker voor u om ze op afstand te bereiken.
U dient UPnP uit te schakelen als u niet van plan bent applicaties te gebruiken die port forwarding nodig hebben. Gamingconsoles en -servers, IoT-apparaten en peer-to-peer-applicaties zijn tegenwoordig de beste voorbeelden. Als u een van deze toepassingen nodig heeft en nog steeds geen gebruik wilt maken van UPnP, kunt u altijd handmatige (ouderwetse) port forwarding uitvoeren in uw router. Voor wat het waard is, heeft Kevin uiteindelijk UPnP uitgeschakeld en lijkt hij er blijer om te zijn.
Lees meer - 4 stappen voor een Veilige NAS
***Update 4-12-2021 – TerraMaster heeft een firmware-update uitgegeven***
Neem contact op met StorageReview
Nieuwsbrief | YouTube | LinkedIn | Instagram | Twitter | Facebook | TikTok | RSS Feed
