Qnap schließt NAS-Sicherheitslücken aus Hacker-Wettbewerb Pwn2Own
NAS-Modelle von Qnap sind verwundbar. Nun hat der Hersteller Sicherheitsupdates für das Betriebssystem und Apps veröffentlicht.
Angreifer können verschiedene Netzwerkspeicher-Modelle von Qnap attackieren und unter anderem unbefugt auf Dateien zugreifen. Dagegen hat der Anbieter von Netzwerklösungen nun Sicherheitspatches zum Download gestellt.
Jetzt patchen!
Zwei der geschlossenen Lücken (CVE-2023-51364 „hoch“, CVE-2023-51365 „hoch“) stammen aus dem Hacker-Wettbewerb Pwn2Own 2023 [1]. In einer Warnmeldung schreibt Qnap [2], dass Angreifer im Zuge einer Path-Traversal-Attacke auf eigentlich abgeschottet Ordner zugreifen können, um sensitive Daten im Netzwerk offenlegen zu können. Wie so eine Attacke im Detail ablaufen könnte, ist bislang unklar.
Besitzer von NAS-Geräten sollten in den Einstellungen sicherstellen, dass mindestens eine der folgenden Versionen der Betriebssysteme QTS, QuTS hero oder QuTScloud installiert ist:
- QTS 5.1.4.2596 build 20231128
- QTS 4.5.4.2627 build 20231225
- QuTS hero h5.1.3.2578 build 20231110
- QuTS hero h4.5.4.2626 build 20231225
- QuTScloud c5.1.5.2651
Weitere Lücken
Außerdem können Angreifer an einer Schwachstelle (CVE-2023-47222 „hoch“) im Media Streaming Add-on ansetzen. Klappt so eine Attacke, sind Sicherheitsmechanismen umgehbar. Die Ausgabe 500.1.1.5 (2024/01/22) ist dagegen gerüstet.
Darüber hinaus sind noch die Add-ons QuFirewall [3] und Squid [4] verwundbar. Im Fall von QuFirewall muss ein Angreifer aber bereits Admin sein, um im Zuge einer Attacke Daten leaken zu können. Hier schafft die Version 2.4.1 (2024/02/01) Abhilfe. Bei Squid ist der Proxy Server angreifbar. An diese Stelle haben die Entwickler die Schwachstellen (CVE-2023-5824 „mittel“, CVE-2023-46724 „mittel“, CVE-2023-46846 „mittel“, CVE-2023-46847) in Ausgabe 1.4.6 geschlossen.
(des [5])
URL dieses Artikels:
https://www.heise.de/-9701977
Links in diesem Artikel:
[1] https://www.heise.de/news/Hackerwetbewerb-Pwn2Own-Teilnehmer-knacken-Samsungs-Galaxy-S23-mehrmals-9346581.html
[2] https://www.qnap.com/de-de/security-advisory/qsa-24-14
[3] https://www.qnap.com/de-de/security-advisory/qsa-24-17
[4] https://www.qnap.com/de-de/security-advisory/qsa-24-18
[5] mailto:des@heise.de
Copyright © 2024 Heise Medien