Kritische Schadcode-Lücken in NAS-Systemen von Qnap geschlossen

Wer ein NAS von Qnap besitzt, sollte das System aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls könnten Angreifer Geräte attackieren und im schlimmsten Fall Schadcode ausführen. Qnap empfiehlt ein zügiges Update.

Am gefährlichsten gilt eine "kritische" Schwachstelle (CVE-2020-2509), die alle NAS-Systeme betrifft. Auf einem nicht näher beschriebenen Weg könnte ein Angreifer die Betriebssysteme QTS und QuTS hero attackieren. Ist das erfolgreich, könnten sie eigene Befehle ausführen.

Die zweite kritische Lücke (CVE-2020-36195) betrifft ausschließlich NAS-Systeme, auf denen das Add-on Multimedia Console oder Media Streaming läuft. Ist das der Fall, sind SQL-Injection-Attacken vorstellbar.

Ein Patch steht noch aus

Die weiteren Schwachstellen sind mit dem Bedrohungsgrad "hoch" eingestuft. Eine Lücke (CVE-2018-19942, CVE-2018-19942) könnten Angreifer für XSS-Attacken ausnutzen. Eine weitere Sicherheitslücke (CVE-Nummer noch nicht vergeben) betrifft Twonky-Media-Server. Nach erfolgreichen Attacken könnten Angreifer beispielsweise auf Admin-Passwörter zugreifen. Das Entschlüsseln von Kennwörtern ist ebenfalls vorstellbar.

Die reparierte Twonky-Server-Ausgabe 8.5.2 ist zwar schon verfügbar, bislang aber noch nicht für Qnap-NAS-Systeme.

Weitere Infos zu den Lücken und den gegen diese Attacken abgesicherten QTS- und QuTS-hero-Versionen findet man in den verlinkten Warnmeldungen.

Liste nach Bedrohungsgrad absteigend sortiert:

• SQL Injection Vulnerability in Multimedia Console and the Media Streaming Add-On
• Command Injection Vulnerability in QTS and QuTS hero
• Cross-site Scripting Vulnerability in File Station
• Multiple Vulnerabilities in Twonky Server

(des)