Angreifer könnten die Kontrolle über Videoüberwachungssysteme von Qnap erlangen
Ein wichtiges Update schließt unter anderem eine kritische Lücke in einigen Netzwerk-Videorekordern von Qnap.
Wenn in Unternehmen Videoüberwachungssysteme von Qnap zum Einsatz kommen, sollten Admins die Firmware auf den aktuellen Stand bringen. Geschieht dies nicht, könnten Angreifer nach erfolgreichen Attacken eigene Befehle auf Systemen ausführen.
Qnap zufolge sind ausschließlich Netzwerk-Videorekorder der VS Series NVR betroffen. In einer Warnmeldung stuft der Hersteller eine Sicherheitslücke (CVE-2021-38685) als "kritisch" ein. Die Schwachstelle findet sich in der QVR-Software. Attacken sollen aus der Ferne möglich sein und Angreifer in die Lage versetzen, eigene Befehle ausführen zu können. Weitere Details sind zurzeit nicht bekannt. Die zweite Schwachstelle (CVE-2021-38686 "hoch") betrifft einen Fehler bei der Authentifizierung von QVR.
Die Entwickler geben an, beide Sicherheitsprobleme ab QVR 5.1.6 build 202111109 gelöst zu haben. Diese Version kann man ab sofort über die Systemeinstellungen der betroffenen Videoüberwachungssysteme installieren.
(des)