Hintertür erlaubt Datenzugriff auf Qnas-Geräte

Laut einer Meldung von baseline-security.de existiert in allen aktuellen NAS-Geräten des Herstellers Qnas eine versteckte Hintertür, mit deren Hilfe sich die auf den Festplatten verschlüsselten Daten im Klartext einsehen lassen. Die Systeme basieren auf dem Linux Verschlüsselungsstandard „luks“. Bei der Erstellung des geheimen Schlüssels durch den Anwender wird vom System ein zweiter Schlüssel erstellt und auf der Flash-Karte des NAS-Geräts abgelegt.

Dieser Schlüssel ist nicht besonders effizient versteckt: Durch einen Zugriff auf den Flashspeicher des Qnas Geräts lässt sich der 32 Zeichen lange Schlüssel sehr einfach lokalisieren und auslesen. Er wurde lediglich durch das Verschieben der ersten sechs Zeichen an den Schluss verändert. Angreifer, die sich diesen Schlüssel verschaffen und ihn rekonstruieren, können direkt auf die verschlüsselten Laufwerke der Qnas-NAS-Geräte zugreifen. Die Schwachstelle wurde bereits unter CVE-2009-3200 erfasst. Ein Patch befindet sich im Teststadium, nach Aussagen des Herstellers soll dieser jedoch im Oktober 2009 erscheinen. (vgw)