Qnap schließt NAS-Sicherheitslücken aus Hacker-Wettbewerb Pwn2Own
NAS-Modelle von Qnap sind verwundbar. Nun hat der Hersteller Sicherheitsupdates für das Betriebssystem und Apps veröffentlicht.
(Bild: AFANASEV IVAN/Shutterstock.com)
Angreifer können verschiedene Netzwerkspeicher-Modelle von Qnap attackieren und unter anderem unbefugt auf Dateien zugreifen. Dagegen hat der Anbieter von Netzwerklösungen nun Sicherheitspatches zum Download gestellt.
Jetzt patchen!
Zwei der geschlossenen Lücken (CVE-2023-51364 „hoch“, CVE-2023-51365 „hoch“) stammen aus dem Hacker-Wettbewerb Pwn2Own 2023. In einer Warnmeldung schreibt Qnap, dass Angreifer im Zuge einer Path-Traversal-Attacke auf eigentlich abgeschottet Ordner zugreifen können, um sensitive Daten im Netzwerk offenlegen zu können. Wie so eine Attacke im Detail ablaufen könnte, ist bislang unklar.
Besitzer von NAS-Geräten sollten in den Einstellungen sicherstellen, dass mindestens eine der folgenden Versionen der Betriebssysteme QTS, QuTS hero oder QuTScloud installiert ist:
- QTS 5.1.4.2596 build 20231128
- QTS 4.5.4.2627 build 20231225
- QuTS hero h5.1.3.2578 build 20231110
- QuTS hero h4.5.4.2626 build 20231225
- QuTScloud c5.1.5.2651
Weitere Lücken
Außerdem können Angreifer an einer Schwachstelle (CVE-2023-47222 „hoch“) im Media Streaming Add-on ansetzen. Klappt so eine Attacke, sind Sicherheitsmechanismen umgehbar. Die Ausgabe 500.1.1.5 (2024/01/22) ist dagegen gerüstet.
Darüber hinaus sind noch die Add-ons QuFirewall und Squid verwundbar. Im Fall von QuFirewall muss ein Angreifer aber bereits Admin sein, um im Zuge einer Attacke Daten leaken zu können. Hier schafft die Version 2.4.1 (2024/02/01) Abhilfe. Bei Squid ist der Proxy Server angreifbar. An diese Stelle haben die Entwickler die Schwachstellen (CVE-2023-5824 „mittel“, CVE-2023-46724 „mittel“, CVE-2023-46846 „mittel“, CVE-2023-46847) in Ausgabe 1.4.6 geschlossen.
(des)
