zurück zum Artikel

QNAP hat zwei Angriffsmöglichkeiten beseitigt, über die wir kürzlich in Zusammenhang mit dem NAS TS-231 berichteten. Auch weitere ältere Modelle sind betroffen.

Kurz vor den Osterfeiertagen hat QNAP ein wichtiges Firmware-Update in Gestalt von QTS 4.3.6.1620 Build 20210322 veröffentlicht. Es soll ältere Netzwerkspeicher-Modelle (NAS), die teils schon den End-of-Life-Status erreicht haben, vor Angriffsmöglichkeiten über zwei kürzlich entdeckte und als kritisch eingestufte Schwachstellen schützen. Die neuere QTS-Version 4.5 war von den Sicherheitsproblemen offensichtlich ebenfalls betroffen, wurde allerdings schon vor längerer Zeit abgesichert; Details dazu nennt der letzte Abschnitt dieser Meldung.

Im Falle verwundbarer Geräte können je nach NAS-Konfiguration Fernzugriffe über das Internet ohne vorherige Authentifizierung möglich sein, um unter anderem beliebige (Shell-)Befehle auszuführen und schreibend auf beliebige Speicherorte zuzugreifen. Eine heise online-Meldung vom vergangenen Wochenende [1] nennt weitere Details zu den Schwachstellen, denen die IDs CVE-2020-2509 und CVE-2021-36195 zugewiesen wurden. Dort fehlte allerdings noch der Hinweis auf das bereits verfügbare Firmwareupdate.

Diverse NAS mit QTS vor 4.5 potenziell angreifbar

Laut einem Update des Blogeintrags zu den Sicherheitslücken [2] hat QNAP gegenüber deren Entdeckern mittlerweile mitgeteilt, dass nicht nur das NAS-Modell TS-231, sondern auch weitere ältere Modelle angreifbar sind. Welche das im Einzelnen sind, sagt das Unternehmen nicht. Ebenso schweigt es zu den verwundbaren QTS-Versionen: Die Sicherheitsforscher hatten die Schwachstellen ursprünglich in QTS 4.3.6.1446 von September 2020 entdeckt – allerdings blieb unklar, ob noch weitere Versionen angreifbar waren.

Besitzer älterer NAS-Modelle (auch solche mit EoL-Status) sollten sicherheitshalber "auf Verdacht" überprüfen, ob im QNAP Download Center [3] ein aktuelles Firmware-/QTS-Update für das von ihnen eingesetzte Modell bereitsteht. Ein Klick auf den Bereich "Anmerkung" liefert eine Zusammenfassung der jeweils im Update enthaltenen Neuerungen und Security Fixes (nebst CVE-Nummern zur Orientierung).

Wie eingangs erwähnt, ist das abgesicherte QTS 4.3.6.1620 Build 20210322 bereits seit einigen Tagen verfügbar; weitere Aktualisierungen könnten in den kommenden Wochen hinzukommen.

• Release Notes: QTS 4.3.6.1620 Build 20210322 [4]

QTS 4.5 schon länger abgesichert

Gegenüber Threatpost [5] äußerte QNAP, dass eine der beiden Schwachstellen, nämlich CVE-2020-2509, auch die QTS-Versionsreihe 4.5 betroffen habe. In dieser (aktuellen) Reihe sei das Sicherheitsproblem allerdings schon vor längerer Zeit behoben worden: Betroffen gewesen seien hier alle Versionen vor QTS 4.5.2.1566 Build 20210202 (Februar 2021) und vor QTS 4.5.1.1495 Build 20201123 (November 2020). Vor Angriffen via CVE-2021-36195 biete ein Update der "Multimedia Console" auf Version 1.3.4 (ebenfalls von Februar 2021) Schutz.

Nutzer der 4.5er-Versionsreihe von QTS, die lange kein Update durchgeführt haben, sollten dies also nachholen und auch die "Multimedia Console" über das QNAP App Center [6] auf den neuesten Stand bringen. Auch Besitzer älterer (kompatibler) Geräte, die aus Sicherheitsgründen manuell auf QTS 4.5 umsteigen wollen, sollten entsprechend auf die Aktualität der Version(en) achten.

(ovw [7])

URL dieses Artikels:
https://www.heise.de/-6005958

Links in diesem Artikel:
[1] https://www.heise.de/news/QNAP-Kritische-Schwachstellen-erlauben-Uebernahme-von-NAS-Netzwerkspeicher-6004957.html
[2] https://securingsam.com/new-vulnerabilities-allow-complete-takeover/
[3] https://www.qnap.com/de-de/download?model=ts-231&category=firmware
[4] https://www.qnap.com/de-de/release-notes/qts/4.3.6.1620/20210322
[5] https://threatpost.com/qnap-nas-devices-zero-day-attack/165165/
[6] https://www.qnap.com/en/app_center/
[7] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2021 Heise Medien