Sicherheitsupdates QNAP: Angreifer können eigene Befehle auf NAS ausführen
Wichtige Sicherheitspatches sichern Netzwerkspeicher von QNAP ab. Unbefugte können Daten einsehen.
(Bild: Artur Szczybylo/Shutterstock.com)
Die QNAP-Entwickler haben unter anderem zwei „kritische“ Sicherheitslücken im NAS-Betriebssystem QTS geschlossen. Außerdem sind Attacken auf Music Station möglich.
Kompromittierte Systeme
Über beide kritischen Schwachstellen (CVE-2023-23368, CVE-2023-23369) können Angreifer über das Netzwerk eigene Befehle ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Geräte im Anschluss vollständig kompromittiert sind. Wie Attacken aussehen könnten, führt QNAP derzeit nicht aus.
Konkret betroffen sind QTS, QuTS Hero und QuTScloud. Die folgenden Versionen sind gegen die skizzierten Angriffe gerüstet:
- QTS 4.5.4.2374 build 20230416
- QTS 5.0.1.2514 build 20230906
- QuTS hero h5.0.1.2515 build 20230907
- QuTS hero h5.1.1.2488 build 20230812
- QuTScloud c5.1.0.2498
Weitere abgesicherte Versionen für die NAS-Systeme, Multimedia Console und das Media-Streaming-Add-on sind in einer Warnmeldung aufgelistet.
Weitere Lücken
Über eine Schwachstelle in Music Station (CVE-2023-39299 „mittel") können Angreifer auf Daten zugreifen. Hier schaffen die Ausgaben 4.8.11, 5.1.16 und 5.3.23 Abhilfe.
Außerdem haben die Entwickler eine weitere Datenleak-Lücke (CVE-2023-39301 „mittel“) in den akutellen NAS-System-Ausgaben geschlossen.
(des)
