QNAP: Firmware-Updates für ältere NAS-Modelle schließen Remote-Schwachstellen
QNAP hat zwei Angriffsmöglichkeiten beseitigt, über die wir kürzlich in Zusammenhang mit dem NAS TS-231 berichteten. Auch weitere ältere Modelle sind betroffen.
(Bild: Artur Szczybylo/Shutterstock.com)
Kurz vor den Osterfeiertagen hat QNAP ein wichtiges Firmware-Update in Gestalt von QTS 4.3.6.1620 Build 20210322 veröffentlicht. Es soll ältere Netzwerkspeicher-Modelle (NAS), die teils schon den End-of-Life-Status erreicht haben, vor Angriffsmöglichkeiten über zwei kürzlich entdeckte und als kritisch eingestufte Schwachstellen schützen. Die neuere QTS-Version 4.5 war von den Sicherheitsproblemen offensichtlich ebenfalls betroffen, wurde allerdings schon vor längerer Zeit abgesichert; Details dazu nennt der letzte Abschnitt dieser Meldung.
Im Falle verwundbarer Geräte können je nach NAS-Konfiguration Fernzugriffe über das Internet ohne vorherige Authentifizierung möglich sein, um unter anderem beliebige (Shell-)Befehle auszuführen und schreibend auf beliebige Speicherorte zuzugreifen. Eine heise online-Meldung vom vergangenen Wochenende nennt weitere Details zu den Schwachstellen, denen die IDs CVE-2020-2509 und CVE-2021-36195 zugewiesen wurden. Dort fehlte allerdings noch der Hinweis auf das bereits verfügbare Firmwareupdate.
Diverse NAS mit QTS vor 4.5 potenziell angreifbar
Laut einem Update des Blogeintrags zu den Sicherheitslücken hat QNAP gegenüber deren Entdeckern mittlerweile mitgeteilt, dass nicht nur das NAS-Modell TS-231, sondern auch weitere ältere Modelle angreifbar sind. Welche das im Einzelnen sind, sagt das Unternehmen nicht. Ebenso schweigt es zu den verwundbaren QTS-Versionen: Die Sicherheitsforscher hatten die Schwachstellen ursprünglich in QTS 4.3.6.1446 von September 2020 entdeckt – allerdings blieb unklar, ob noch weitere Versionen angreifbar waren.
Besitzer älterer NAS-Modelle (auch solche mit EoL-Status) sollten sicherheitshalber "auf Verdacht" überprüfen, ob im QNAP Download Center ein aktuelles Firmware-/QTS-Update für das von ihnen eingesetzte Modell bereitsteht. Ein Klick auf den Bereich "Anmerkung" liefert eine Zusammenfassung der jeweils im Update enthaltenen Neuerungen und Security Fixes (nebst CVE-Nummern zur Orientierung).
Wie eingangs erwähnt, ist das abgesicherte QTS 4.3.6.1620 Build 20210322 bereits seit einigen Tagen verfügbar; weitere Aktualisierungen könnten in den kommenden Wochen hinzukommen.
QTS 4.5 schon länger abgesichert
Gegenüber Threatpost äußerte QNAP, dass eine der beiden Schwachstellen, nämlich CVE-2020-2509, auch die QTS-Versionsreihe 4.5 betroffen habe. In dieser (aktuellen) Reihe sei das Sicherheitsproblem allerdings schon vor längerer Zeit behoben worden: Betroffen gewesen seien hier alle Versionen vor QTS 4.5.2.1566 Build 20210202 (Februar 2021) und vor QTS 4.5.1.1495 Build 20201123 (November 2020). Vor Angriffen via CVE-2021-36195 biete ein Update der "Multimedia Console" auf Version 1.3.4 (ebenfalls von Februar 2021) Schutz.
Nutzer der 4.5er-Versionsreihe von QTS, die lange kein Update durchgeführt haben, sollten dies also nachholen und auch die "Multimedia Console" über das QNAP App Center auf den neuesten Stand bringen. Auch Besitzer älterer (kompatibler) Geräte, die aus Sicherheitsgründen manuell auf QTS 4.5 umsteigen wollen, sollten entsprechend auf die Aktualität der Version(en) achten.
(ovw)
