Mehrere Softwareschwachstellen gefährden Qnap NAS

Es sind wichtige Sicherheitsupdates für verschiedene NAS-Modelle von Qnap erschienen. Sind Attacken erfolgreich, können Angreifer im schlimmsten Fall eigene Befehle ausführen und Geräte kompromittieren. Qnaps Routerbetriebssystem QuRouter OS ist ebenfalls verwundbar.

Wie aus dem Sicherheitsbereich der Qnap-Website hervorgeht, sind neben den NAS-Betriebssystemen QTS und QuTS hero noch die NAS-Anwendungen AI Core, OpenSSH, Media Streamin Add-on, Notes Station 3 und QuLog Center angreifbar.

Bislang hat Qnap keine Attacken vermeldet. Besitzer von NAS-Geräten sollten die verfügbaren Sicherheitsupdates gleichwohl zeitnah installieren.

Mehrere Sicherheitslücken geschlossen

Die Schwachstelle in QuLog Center (CVE-2024-48862 "hoch") lässt unbefugte Zugriffe auf Daten zu. Eine "kritische" Lücke (CVE-2024-38645) in Notes Station 3 sorgt ebenfalls für einen möglichen Datenleak. Der Großteil der Lücken in QTS und QuTS hero ist mit dem Bedrohungsgrad "mittel" eingestuft (etwa CVE-2024-37024). In diesem Beispiel können sich Angreifer höhere Nutzerrechte verschaffen.

Setzen Angreifer erfolgreich an den Lücken (CVE-2024-48860 "kritisch", CVE-2024-48861 "hoch") in QuRouter an, können sie eigene Befehle ausführen. Aufgrund der Einstufungen ist davon auszugehen, dass sie im Anschluss die volle Kontrolle über Geräte erlangen. Photo Station ist für eine XSS-Attacke (CVE-2024-32767 "mittel") anfällig.

Diese Ausgaben sind gegen die geschilderten Attacken abgesichert:

• AI Core ab 3.4.1
• QuLog Center ab 1.7.0.831 (2024/10/15), 1.8.0.888 (2024/10/15) and later
• QuRouter ab 2.4.3.106
• QTS ab 5.2.1.2930 build 20241025
• QuTS hero ab h5.2.1.2929 build 20241025
• Note Station 3 ab 3.9.7
• Photo Station ab 6.4.3 (2024/07/12)
• Media Streaming Add-on ab 500.1.1.6 (2024/08/02)

Erst jüngst sorgte ein Sicherheitsupdate für Probleme, und Qnap hat es zurückgezogen.

(des)