Qnap lässt Sicherheitsupdate-Support für einige NAS-Modelle aufleben
Wer einen älteren Netzwerkspeicher (NAS) von Qnap besitzt, könnte ab sofort wieder Sicherheitspatches bekommen.
(Bild: AFANASEV IVAN/Shutterstock.com)
Der Hersteller von Netzwerkgeräten Qnap hat den technischen und Patch-Support für bestimmte NAS-Modelle verlängert. Der Grund dafür sind aller Wahrscheinlichkeit nach zahlreiche Attacken aus jüngster Vergangenheit.
Sicherheitsupdates bis Herbst 2022
Wie aus einem Beitrag hervorgeht, bekommen Qnap-Geräte nach dem erreichen des End-of-Life-Status (EOL) noch vier Jahre lang Sicherheitsupdates. Im Anschluss gibt es keine Sicherheitsupdates mehr, auch wenn kritische Sicherheitslücken NAS-Systeme gefährden. Solche Geräte stellen ein nicht zu vernachlässigbares Sicherheitsrisiko dar.
Nun hat der Hersteller bekannt gegeben, für NAS-Modelle (x86, 64 Bit, ARM), die die Betriebssystem-Versionen QTS 4.2.6, 4.3.3, 4.3.6 und 4.4.1 unterstützen, noch bis Oktober 2022 Sicherheitspatches zu veröffentlichen. Das gelte aber nur für Schwachstellen mit dem Bedrohungsgrad „kritisch“ oder „hoch“.
Auf einer Support-Website kann man prüfen, wie lange das eigene System noch von Qnap unterstützt wird.
Und danach?
Wer ein NAS-Modell besitzt, für das es keine Sicherheitsupdates mehr gibt, sollte das System keinesfalls über das Internet verfügbar machen. Das kommt einer Einladung für Angreifer nach. Es ist durchaus realistisch, dass diese erst so erfolgreich an einer Sicherheitslücke ansetzen und auf diesem Weg ins eigene Netzwerk eindringen.
Aber auch gepatchte NAS-Geräte sollte mannur wenn es unbedingt notwendig ist von außen erreichbar machen. Ist das unvermeidlich, darf der Zugriff nur über gesicherte Verbindungen, die mit starken Passwörtern geschützt sind, stattfinden.
In einem Beitrag gibt Qnap essenzielle Tipps, wie man ein NAS-System so sicher wie möglich betreibt. Dazu gehört unter anderem, automatische Portweiterleitungen (UPnP) zu deaktivieren, unbekannte Accounts zu löschen und stets aktuelle Sicherheitsupdates zu installieren.
Zwangsgepatcht
Der Grund für die Patch-Verlängerung dürften vergleichsweise viele Attacken der jüngsten Vergangenheit sein. Das ging sogar soweit, dass der Hersteller Geräte mit Zwangsupdates versorgt hat, um den Erpressungstrojaner Deadbold auszusperren.
(des)
