[Linuxtrent] backdoor nei prodotti QNAP

  • From: Emanuele Olivetti <emanuele@xxxxxxxxxxxxxx>
  • To: linuxtrent@xxxxxxxxxxxxx
  • Date: Thu, 12 Nov 2009 12:00:27 +0100

Si parlava dei prodotti QNAP (NAS) qualche giorno fa in lista. Ecco un
"simpatico problema" (decidete voi come chiamarlo ;-) ) che affligge
l'attuale firmware dei loro prodotti:

http://seclists.org/fulldisclosure/2009/Sep/255

"""
Advisory: Crypto backdoor in Qnap storage devices (CVE-2009-3200)

Overview:

 The premium and new line of QNAP network storage solutions allow
 for full hard disk encryption. When rebooting, the user has to
 unlock the hard disk by supplying the encryption passphrase via
 the web GUI.

 However, when the hard disk is encrypted, a secondary key is
 created, added to the keyring, and stored in the flash with minor
 obfuscation.

Impact:

 The encrypted hard disk can be unlocked and potential sensitive
 contents access by attackers who obtain physical or network
 access to the hard disk and flash.

"""
(aggiungiamo anche che non c'era menzione di questa seconda chiave
nella documentazione del prodotto, per cui l'utente... non sapeva!)


Nota: i modelli di NAS QNAP di cui si parlava in lista qualche giorno
fa sono il TS-209 e TS-219 che non appaiono nella lista di questo
advisory. Il motivo e' che da poco tempo non viene piu' supportata la
funzione di crittografia in hardware del disco da parte del firmware
in questi modelli. I processori orion/marvell (arm) usati nel
ts-209/ts-219 presentano un engine crittografico hardware, ma per
qualche motivo (forse performance non elevatissime) il supporto
software per il loro uso e' stato eliminato di recente. La backdoor
pero' rimane sui firmware di qualche mese fa...

Nota: sembra che l'unico modo di recuperare questa funzione sara'
passare a Debian ;-)
http://plugcomputer.org/plugforum/index.php?topic=197.0

Ciao,

Emanuele

P.S.: una release del firmware di pochi giorni fa cerca di arginare il
"problema"(vedi sezione "Updates"):
http://www.baseline-security.de/downloads/BSC-Qnap_Crypto_Backdoor-CVE-2009-3200.txt

--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

Other related posts:

  1. Home
  2. linuxtrent
  3. Archive
  4. 11-2009