Apple stellte über viele Jahre ein eigenes Netzwerkprotokoll zur Verfügung, das Apple Filing Protocol (AFP). Vor knapp zehn Jahren stellte der kalifornische Konzern die Weiterentwicklung ein, erklärte AFP für veraltet und setzt seither vornehmlich auf Samba, welches vor allem aus der Windows-Welt bekannt ist. Der Einsatz des in lokalen Netzwerken dominierenden Protokolls wird von Apple seit dem 2012 erschienenen OS X 10.9 Mavericks empfohlen und ist bis heute in allen Versionen von macOS enthalten.


Schwachstelle ermöglicht Ausführung von Schadcode
In Samba klafft derzeit allerdings eine Root-Lücke, die vor wenigen Tagen bekannt wurde. Genau genommen handelt es sich um drei Schwachstellen mit den Referenznummern CVE-2021-44141, CVE-2021-44142 und CVE-2022-0336. Eine davon steckt in einem Modul namens vfs_fruit, welches spezielle Anpassungen für den Serverzugriff durch Macs bereitstellt. Angreifer können die Sicherheitslücken ausnutzen, um auf betroffenen Systemen Schadcode auszuführen, Informationen abzugreifen oder sogar die Kontrolle über die Geräte und darauf ausgeführte Dienste zu erlangen. Anfällig für derartige Attacken sind nicht nur Desktop-Rechner und Server, sondern auch Netzwerkspeicher. Der bekannte NAS-Hersteller QNAP warnt Besitzer seiner Geräte deshalb jetzt vor den möglicherweise drohenden Gefahren.

QNAP empfiehlt zwei Workarounds
Die Entwickler des quelloffenen Samba haben die als kritisch eingestuften Lücken in den aktuellen Versionen 4.15.5, 4.14.12 und 4.13.17 bereits geschlossen. QNAP untersucht das Problem allerdings nach eigenen Angaben noch und kann bislang kein Update für die hauseigenen NAS-Geräte zur Verfügung stellen. Der taiwanische Hersteller rät den Besitzern seiner Systeme daher, selbst aktiv zu werden und zwei Maßnahmen zu ergreifen, um die Netzwerkspeicher abzusichern. Nutzer sollten umgehend SMB 1 deaktivieren und dazu in der Systemsteuerung unter "Netzwerk- und Dateidienste" bei den erweiterten Einstellungen der Rubrik "Win/Mac/NFS/WebDAV" als niedrigste SMB-Version SMB 2 festlegen. Darüber hinaus empfiehlt das Unternehmen, für alle freigegeben Ordner den Gastzugang zu deaktivieren. Diese Einstellung muss in der Systemsteuerung unter "Rechte" "Freigabeordner" mit dem Button "Berechtigung für Freigabeordner bearbeiten" vorgenommen werden, und zwar einzeln für jeden Ordner. Entsprechende Schritt-für-Schritt-Anleitungen stehen auf einer speziellen Webseite bereit.

Synology hat eine Sicherheitslücke bereits geschlossen
Diese Einstellungen sollte man mindestens so lange beibehalten, bis QNAP ein Update bereitstellt. Es spricht allerdings nichts dagegen, sie auch danach noch aktiviert zu lassen, sofern SMB 1 oder Gastzugriffe nicht zwingend benötigt werden. Ob NAS-Geräte anderer Hersteller die Schwachstelle ebenfalls aufweisen, ist derzeit nicht bekannt, die Wahrscheinlichkeit ist allerdings hoch. Synology hat zumindest die Sicherheitslücke mit der Referenznummer CVE-2021-44142 in DSM 6.2.4-25556-4 geschlossen, DSM 7.0 ist nach Angaben des Unternehmens nicht betroffen.