Netzwerkspeicher: Apple-Protokolle reißen Sicherheitslücken in Qnap-NAS
Die Unterstützung von Apples Netzwerkprotokollen durch netatalk in Qnap-NAS-Systemen bringt teils kritische Sicherheitslücken mit. Erste Updates stehen bereit.
Der Hersteller von Netzwerkspeichersystemen Qnap warnt vor Sicherheitslücken in mehreren Versionen der Betriebssysteme der NAS. Durch das mitgelieferte netatalk unterstützen die Geräte die Apple-Netzwerkprotokolle. Allerdings hat eine veraltete Version von netatalk teils kritische Sicherheitslücken, die damit auch die NAS betreffen.
Betroffen sind laut Qnap QTS 4.2.6, 4.3.3. 4.3.4, 4.3.6, 4.5.4 sowie 5.0.x und spätere, sowie QuTS hero h4.5.4 und h5.0.x und neuere sowie QuTScloud c5.0.x. Die Fehlerliste umfasst mehrere Einträge, darunter auch kritische Lecks.
Mehrere Schwachstellen
Wegen mangelhafter Fehlerhandhabung beim Verarbeiten von AppleDouble-Einträgen könnten Angreifer Schadcode einschleusen, der mit root-Rechten läuft (CVE-2022-23121, CVSS 9.8, Risiko kritisch). Eine fehlende Längenprüfung von Parametern in der Funktion setfilparams
könnten bösartige Akteure zum Ausführen von Code im root-Kontext missbrauchen (CVE-2022-23122, CVSS 9.8, kritisch).
Auch in der Funktion copyapplfile
kann eine fehlende Längenprüfung zur Ausführung von Code als root führen (CVE-2022-23125, CVSS 9.8, kritisch). Selber Fehler mit gleicher Auswirkung findet sich in der Funktion ad_addcomment (CVE-2022-0194, CVSS 9.8, kritisch). Aufgrund eines Heap-basierten Pufferüberlaufs könnten Angreifer Code im Kontext des laufenden Prozesses ausführen (CVE-2021-31439, CVSS 8.8, hoch).
Zwei weitere Schwachstellen fallen bezüglich des potenziellen Schadens stark ab (CVE-2022-23123, CVSS 5.3, mittel sowie CVE-2022-23124, CVSS 5.3, mittel).
Abhilfe
Bislang steht lediglich eine Aktualisierung bereit, nämlich QTS 4.5.4.2012 Build 20220419. Für weitere Versionen arbeitet der Hersteller noch an Updates und will diese nach und nach veröffentlichen.
Um zu überprüfen, ob eine Aktualisierung für das eingesetzte Gerät verfügbar ist, sollen Administratoren folgendermaßen vorgehen:
- Anmeldung an QTS, QuTS hero oder QuTScloud als Administrator
- Zu "Control Panel" – "System" – "Firmware Update" gehen
- Unter "Live Update" auf "Check for Update" klicken
- Das Betriebssystem lädt die aktuelle Fassung herunter und installiert sie.
Qnap-Administratoren, die bis jetzt noch keine Aktualisierung für ihr Gerät finden, empfiehlt der Hersteller, bis zur Verfügbarkeit eines Updates die AFP-Funktionen zu deaktivieren.
(dmk)