Qnap schließt kritische Schadcode-Lücken in NAS-Modellen
Wer mit Netzwerkspeichern von Qnap bestimmte Software nutzt, sollte aktuelle Sicherheitsupdates installieren. Switches sind ebenfalls verwundbar.
(Bild: Tatiana Popova/Shutterstock.com)
Wer einen Netzwerkspeicher (NAS) von Qnap besitzt, sollte aufgrund von mehreren Sicherheitslücken die Software auf den aktuellen Stand bringen. Von den Lücken sind aber nicht alle Geräte betroffen. Einige Switch-Modelle des Herstellers sind ebenfalls angreifbar.
Eine "kritische" Schwachstelle (CVE-2021-34344) betrifft nur NAS-Systeme, auf denen die Software QUSBCam2 läuft. Die Lücke kann als Einfallstor für Schadcode dienen. Qnap gibt an, die folgenden Versionen gegen solche Attacken gerüstet zu haben:
- QTS 4.5.4: QUSBCam2 1.1.4 (2021/07/30)
- QTS 4.3.6: QUSBCam2 1.1.4 (2021/07/30)
- QuTS hero h4.5.3: QUSBCam2 1.1.4 (2021/07/30)
Auch die beiden anderen "kritischen" Schadcode-Lücken (CVE-2021-34345, CVE-2021-34346) betreffen nicht alle NAS-Modelle. Sondern nur die, auf denen NVR Storage Expansion läuft. Die Entwickler geben an, NVR Storage Expansion 1.0.6 (2021/08/03) repariert zu haben.
Drei weitere Lücken (CVE-2021-28816 "hoch", CVE-2021-34343 "hoch", CVE-2018-19957 "mittel") bedrohen alle NAS-Modelle. Die gepatchten QTS-Versionen listet Qnap in Warnmeldungen auf.
- Stack Buffer Overflow Vulnerabilities in QTS, QuTS hero, and QuTScloud
- Insufficient HTTP Security Headers in QTS, QuTS hero, and QuTScloud
Weitere Geräte verwundbar
Das Router-Modell QSW-M2116P-2T2S und alle Router mit QuNetSwitch sind über eine Sicherheitslücke (CVE-2021-28813 "hoch") attackierbar. Sind Attacken erfolgreich, könnten Angreifer sensitive Informationen einsehen. Dagegen sind diese Versionen gerüstet:
- QSW-M2116P-2T2S 1.0.6 build 21071
- QGD-1600P: QuNetSwitch 1.0.6.150
- QGD-1602P: QuNetSwitch 1.0.6.1509
- QGD-3014PT: QuNetSwitch 1.0.6.1519
(des)
