Sicherheitsupdates: Verschiedene Attacken auf Qnap-NAS möglich

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Mehrere Sicherheitslücken gefährden NAS-Systeme von Qnap. Sicherheitspatches stehen zum Download bereit. In vielen Fällen sind Attacken aber nicht ohne Weiteres möglich.

Wie aus dem Sicherheitsbereich der Qnap-Website hervorgeht, betreffen die Schwachstellen License Center, MARS, Qfiling, Qfinder Pro, Qsync, QuMagie, QVPN Device Client, QTS und QuTS hero. Hinweise zu den Sicherheitsupdates finden Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen.

Die Lücken

Entfernte Angreifer können etwa an einer Schwachstelle (CVE-2025-59384 „hoch“) in Qfiling ansetzen, um unter anderem Systemdaten einzusehen. Die NAS-Betriebssysteme QTS und QuTS hero sind über mehrere Lücken angreifbar. So können Angreifer etwa NAS-Systeme über DoS-Attacken lahmlegen oder auf eigentlich geschützte, geheime Daten zugreifen. Dafür müssen Angreifer aber bereits die Kontrolle über einen Admin-Account erlangt haben. Eine offizielle Einstufung des Bedrohungsgrads dieser Lücken auf der NIST-Website steht derzeit offensichtlich noch aus. Das CERT Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Schweregrad als „hoch“ ein.

Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Unklar ist derzeit auch, woran man bereits attackierte Instanzen erkennen kann.

Weiterführende Informationen zu Sicherheitspatches:

• Vulnerability in QuMagie
• Multiple Vulnerabilities in QTS and QuTS hero 1
• Multiple Vulnerabilities in QTS and QuTS hero 2
• Multiple Vulnerabilities in License Center
• Vulnerability in MARS (Multi-Application Recovery Service)
• Vulnerability in Qfiling
• Vulnerability in Qfinder Pro, Qsync, and QVPN Device Client (for Mac)

(des)