Meltdown: netwerkopslag en routers
Pc-processors en system-on-chips van smartphones staan bij Meltdown en Spectre vol in de belangstelling, want bijna iedereen heeft er daar wel minimaal één van. Maar de lekken liggen ook op andere plekken in de infrastructuur op de loer. Ook bij andere ap
Als je geen internetverdeelsysteem of een firewall met pfSense, IPFire of een andere routerdistributie zelf hebt opgezet, kun je rustig achteroverleunen: de meeste in de handel beschikbare routers werken als gesloten systemen waarop helemaal geen willekeurige software te installeren is die wellicht malware bevat. Dat zal gelden voor de meeste routers die door een provider meegeleverd worden.
Als in de router geen processor zit die op de zwarte lijst staat, dan is je hardware al veilig tegen Meltdown en Spectre. ARM-kernen zonder Out-of-Order-Execution zijn bijvoorbeeld niet kwetsbaar. Daaronder een processor als de CortexA7, die onder meer in huidige routers en System-on-Chips (SoC) van wifisystemen zit. Dat geldt ook voor de in 2017 geïntroduceerde router-SOC's MT7622 van Mediatek en IPQ8074 van Qualcomm, waarin een Cortex-A53 dienstdoet.
Er zijn echter routermodellen waarin een Cortex-A9 of A15 kern draait, en die zijn wel gevoelig voor Spectre. Die zitten bijvoorbeeld in de Netgear R9000. Maar die R9000 mag zonder een firmware-update toch als router blijven dienen, want daarop kan geen aparte software geïnstalleerd worden. Een voordeel van een nadeel in dit geval.
Helaas kun je met een blik op de verpakking meestal niet achterhalen wat voor cpu-kern er in een apparaat zit. Op internet kom je soms nog wel eens een tabel tegen met daarin welke chips er gebruikt worden. Vaak kom je er wel achter als je naar de specificaties van een product zoekt. Als dat niet het geval is, kun je altijd nog even kijken bij www.wikidevi.com, waar voor veel netwerkapparaten staat welke hardware daar inzit. Op het moment van schrijven staan daar bijna 6000 devices opgesomd.
Onafhankelijk hiervan geldt voor alle routerbezitters dat ze netjes met hun ITapparatuur om moeten gaan en bijvoorbeeld de aangeboden firmware-updates regelmatig moeten installeren. In het ideale geval laat je de router zijn updates zelf automatisch installeren als hij daar een optie voor biedt bij de instellingen. Updates hebben soms wel het nadeel dat afzonderlijke functies wat langzamer worden. Maar het voordeel dat veiligheidslekken gedicht worden weegt zwaarder – en er komen af en toe ook handige nieuwe functies bij.
Heb je zelf een router in elkaar gezet op basis van processorhardware die gevoelig is voor een Meltdown- of Spectreaanval? Dan moet je bij de routerdistributie die je gebruikt kijken of er een update beschikbaar is en die zo snel mogelijk installeren. En jezelf in de tussentijd afvragen of het wel veilig genoeg is hem te blijven gebruiken.
Netwerkopslag
Het voorgaande geldt ook voor iedereen die een netwerkopslag (NAS) heeft met een distributie als FreeNAS of OpenMediaVault. Dergelijke systemen zijn meestal uit te breiden met serverfuncties die je van repository's op internet kunt downloaden.
Dan kan er bij een update hiervan wellicht malware op de NAS terechtkomen die probeert om Meltdown of Spectre te benutten. Dat geldt ook als de NAS-fabrikant zelf een dergelijke repository heeft. Het is voor een fabrikant immers onmogelijk alle daar aangeboden plug-ins bij elke afzonderlijke update opnieuw uitvoerig te testen.
Verder worden NAS-systemen gevoelig voor Meltdown en Spectre als je in een virtuele machine een container kunt uitvoeren met vreemde software of een besturingssysteem. Dat kan bijvoor- beeld bij apparaten van Asustor, QNAP en Synology. Dit geldt niet alleen voor alle modellen met een x86-processor van Intel of AMD, maar ook voor de systemen met een op ARM gebaseerde System-on-Chip. Daaronder vallen bijvoorbeeld de Alpine AL-212, AL-314 en AL-514 met Cortex-A15. Die eerste zit onder andere in de NAS-modellen Netgear ReadyNAS RN202, QNAP TS-431X, Synology DS215+ en DS416. De AL-314 zit in de Synology-apparaten DS715 en DS1515.
Volgens de fabrikanten
Bij de grote NAS-fabrikanten zijn talrijke modellen met een x86- of ARM-processor vatbaar voor Meltdown en Spectre. Of die van jou daar ook bij zit, kun je bij de meeste fabrikanten wel achterhalen op een daarvoor bijgehouden webpagina. Bij de link onderaan dit artikel staan er een aantal bij elkaar.
Asustor werkte al aan updates voor zijn NAS-systemen. Eerst werd dat voor de netwerkopslagseries AS63 en AS64 gedaan. Daar moet nu nieuwe firmware voor beschikbaar zijn. Daarna wil Asustor de series AS31, 32, 50, 51, 61, 62 en 70 laten volgen. Bij de oudere series wacht men op het moment van schrijven nog op input van de betreffende chipfabrikant of op kernelupdates van de onderliggende Linux-variant.
Netgear, QNAP en Synology – die laatste kwam op 4 januari al met de eerste updates – controleren continu welke andere modellen een firmware-update nodig hebben. Thecus deelde mee dat vanaf eind januari voor alle zeven NASsystemen (N28/48/49/58/89/123/16910) met ThecusOS-versie 7 een verbeterde firmware ter beschikking staat. Een week daarna is de beurt aan 20 andere modellen van de N2800 tot N16850, die nog met ThecusOS 5 werken.
Als er voor je NAS een update verschijnt, treuzel dan niet met die te installeren. Tot het zover is, moet je voor jezelf ook hier afwegen of het gebruik van actieve uitbreidingen, virtuele machines of Docker-containers het mogelijke verlies van data waard is. Als je helemaal op safe wilt gaan, schakel je in eerste instantie alle servicediensten uit die niet per se meteen nodig zijn.
Maar vergeleken met een root-backdoor in de NAS-firmware, zoals die onlangs bij Western Digitals My Cloud-apparaten gevonden werd, gaat het hier eigenlijk nergens om. (nkr)