Qnap-NAS: Kritische Sicherheitslücke ermöglicht Unterjubeln von Schadcode

Qnap schließt mit aktualisierter Firmware eine kritische Sicherheitslücke in Netzwerk-Speicher-Geräten mit QTS- und QuTS-hero-Betriebssystem. Angreifer könnten durch die Schwachstelle eigenen Code einschleusen und ausführen, erläutert das Unternehmen.

Etwaige weitere Details zu der Sicherheitslücke fehlen in der Sicherheitsmeldung von Qnap. Jedoch betrifft der sicherheitsrelevante Fehler die NAS-Betriebssysteme QTS 5.0.1 und QuTS hero h5.0.1. Den Schweregrad stuft der Hersteller als kritisch ein, mit einem CVSS-Wert von 9.8.

Der CVE-Eintrag zur Lücke hat die Nummer CVE-2022-27596 erhalten. In dem CVE-Eintrag findet sich der Hinweis, dass die Schwachstelle auf unzureichendes Ausfiltern spezieller Elemente beruht, die in einem SQL-Befehl genutzt werden. Die Erläuterung basiert auf dem Schema der Common Weakness Enumeration (CWE), der Schwachstellentyp hat die Nummer CWE-89 erhalten. Einen konkreten Angriffsvektor, wie bösartige Akteure die Lücke ausnutzen können, nennt die Sicherheitsmeldung ebenfalls nicht.

Qnap-NAS: Aktualisierungen

Die Updates auf Version QTS 5.0.1.2234 Build 20221201 sowie QuTS hero h5.0.1.2248 Build 20221215 und neuere sollen das Sicherheitsleck stopfen. Diese finden Administratorinnen und Administratoren durch die Suche nach ihrem NAS-Modell auf der Support-Status-Webseite von Qnap.

Alternativ können Administratoren direkt auf den betroffenen Geräten zudem im Control Panel unter "System"-"Firmware Update" beim Punkt "Live Update" mit Klick auf "Check for Update" nach der Firmware-Aktualisierung suchen und sie auch gleich installieren lassen. Qnap fiel zuletzt durch eine kritische Sicherheitslücke in der optional installierbaren Komponente Photo Station auf, durch die sich die DeadBolt-Ransomware verbreitete.

(dmk)