Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

QNAP: Sicherheitsupdates für QTS wehren "Zerologon"-Angriffe auf NAS ab

Je nach Konfiguration können Netzwerkspeicher von QNAP über die Sicherheitslücke "Zerologon" aus der Ferne angreifbar sein. Updates für QTS stehen bereit.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von

Laut einem aktuellen Security Advisory sind Netzwerkspeicher (NAS) von QNAP unter bestimmten Voraussetzungen über die kritische Sicherheitslücke CVE-2020-1472 alias "Zerologon" angreifbar. Der Hersteller hat Sicherheitsupdates für sein NAS-Betriebssystem QTS veröffentlicht und empfiehlt, sie zeitnah einzuspielen.

Zerologon war bereits im Zuge des Microsoft-Patchdays im August dieses Jahres bekannt geworden. Microsoft hatte die kritische Lücke, über die sich Angreifer Domänen-Admin-Rechte verschaffen können, damals aus mehreren Windows Server-Versionen entfernt. Seit Mitte September ist Exploit-Code für Zerologon verfügbar; kurze Zeit später warnte Microsoft vor ersten aktiven Angriffen in freier Wildbahn.

FBI und CISA warnten vergangene Woche angesichts zahlreicher noch immer angreifbarer Systeme nochmals vor der Gefahr:

Lesen Sie auch

NAS bei bestimmter Konfiguration angreifbar

QNAP NAS könnten via Zerologon angegriffen werden, sofern sie über

Control Panel> Network & File Services> Win/Mac/NFS> Microsoft Networking

als Domain-Controller eingestellt wurden, heißt es im aktuellen QNAP-Advisory QSA-20-07. Abgesichert seien folgende Versionen von QTS:

  • QTS 4.5.1.1456 ab Build 20201015
  • QTS 4.4.3.1439 ab Build 20200925
  • QTS 4.3.6.1446 ab Build 20200929
  • QTS 4.3.4.1463 ab Build 20201006 und
  • QTS 4.3.3.1432 ab Build 20201006.

QTS 2.x and QES seien nicht anfällig für Zerologon.

QTS aktualisieren

Zum Updaten von QTS loggt man sich als Admin ein und wechselt zu Control Panel > System > Firmware Update. Bei "Live Update" findet man laut Advisories die Option "Check for Update", die den Download und die Installation der neuesten QTS-Version anwirft. Alternativ kann man über Support > Download Center manuell nach den Aktualisierungen suchen.

Weitere Informationen zu Zerologon finden Sie hier:

(ovw)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten