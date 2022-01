Der Verschlüsselungstrojaner Deadbolt ("Schließbolzen") nutzt eine seit zwei Tagen bekannte Sicherheitslücke im QNAP-Betriebssystem QTS aus. Gefährdet sind alle aus dem Internet erreichbaren QNAP-Netzwerkspeicher, die noch nicht auf die neueste QTS-Version aktualisiert wurden.

Per Zwang die Bedrohung in den Griff bekommen

Wie heise online bereits berichtete, hat QNAP den Betreibern betroffener Systeme empfohlen, alle Portweiterleitungen im Router vorerst zu deaktivieren, sofern der Scan per "Security Counselor" eine Erreichbarkeit per HTTP anzeigt. Anschließend solle umgehend auf die aktuellste QTS-Version (5.0.0.1891 build 20211221) gewechselt werden.

Allem Anschein nach führen die Besitzer der Geräte diese Gegenmaßnahmen und Updates nach QNAPs Ansicht zu zögerlich oder gar nicht durch, so dass man sich seitens QNAP nun entschlossen hat, das Update auf die neue Version zwangsweise zu installieren. Offenbar war man der Meinung, der Bedrohungssituation nicht mehr anders Herr zu werden.

Reibungsverluste – manuelle Eingriffe nötig

Wie man sich fast schon denken kann, verläuft so eine Maßnahme bei einer derart großen Nutzerbasis nicht vollkommen reibungslos: In manchen Fällen wurde zum Beispiel die iSCSI-Anbindung durch das Update vorübergehend lahmgelegt und benötigte einen händischen Eingriff, um wieder nutzbar zu sein.

Kritischer sind allerdings die Fälle der Nutzer, deren NAS bereits von Deadbolt befallen war und die das Lösegeld bereits bezahlt hatten. Diese berichteten, dass es bei ihnen aufgrund der Zwangsmaßnahme zu Datenverlusten kam, weil das Update ungefragt den erworbenen Key sowie die dazugehörige Entschlüsselungssoftware der Erpresser entfernte und am Ende einen Neustart auslöste. Wer in dieser Situation ist, sollte sich also überlegen, ob er das System nicht besser vom Internet trennt oder zumindest in der Firewall die Verbindungen zu den QNAP-Update-Servern blockiert, während das Entschlüsseln läuft.

Hersteller will Angriff so schnell wie möglich stoppen

Auf das Dilemma, mit einem zwangsweise ausgerollten Update womöglich im Einzelfall mehr Schaden als Nutzen anzurichten, angesprochen, antwortete ein QNAP-Mitarbeiter wie folgt: "Ich weiß, dass es in beide Richtungen Argumente gibt, ob wir das tun sollten oder nicht. Es ist eine schwierige Entscheidung. Aber wegen Deadbolt und unserer Absicht, diesen Angriff so schnell wie möglich zu stoppen, haben wir es getan."

Man könnte sagen, QNAP stand hier vor einer digitalen Variante des altbekannten Trolley-Problems. Ob der gewählte Lösungsansatz der richtige war, werden die von Datenverlusten betroffenen Anwender naturgemäß anders beurteilen als die, bei denen das Update problemlos verlief und die nun vor Deadbolt geschützt sind.

(tiw)