QNAP: Neue Firmware-Versionen beheben Befehlsschmuggel-Lücke
Unter anderem konnten Angreifer aus der Ferne eigene Kommandos auf den Geräten einschleusen. Admins sollten zügig patchen.
Der NAS-Hersteller QNAP hat aktuelle Firmware-Versionen für seine Speichergeräte angekündigt, die eine Vielzahl an Sicherheitslücken beheben. Sowohl die Firmware QTS als auch die als High-End-Variante vermarktete Version "QuTS hero" sind betroffen; teils auch QuTScloud, ein Betriebssystemstrang zur Installation virtueller QNAP-NAS in öffentlichen Clouds. Die Flicken stopfen teils kritische Löcher.
Die gefährlichste Lücke betrifft die Zweige 5.1 und 4.5 beider Betriebssystemversionen sowie das QuTScloud 5 und hat die CVE-ID CVE-2023-45025 erhalten. Mit einem CVSS-Wert von 9.0 gilt der Fehler als kritisch, obgleich QNAP in der Web-Version des Sicherheitshinweises offenbar irrtümlich und abweichend von einem hohen Schweregrad ausgeht. Angreifer können aus der Ferne eigene Kommandos auf dem NAS einschleusen, ohne dazu berechtigt zu sein.
Schadcode-Angriff und SQL-Injection – mehr als 30 CVEs
Auch die Sicherheitslücke CVE-2023-47568 betrifft dieselben QuTS-, hero- und QuTScloud-Versionen. Hier handelt es sich um eine SQL-Injection mit hohem Schweregrad (CVSSv3.1: 8.8/10). Da sie über das Netzwerk ausnutzbar ist, schrammt die Lücke nur aufgrund der notwendigen Nutzerberechtigungen an einem höheren Punktwert vorbei. Dasselbe, verbunden mit identischem CVSS-Wert gilt für CVE-2023-39297, eine weitere Lücke hohen Schweregrads, die das Einschleusen von Betriebssystembefehlen durch angemeldete Nutzer ermöglicht.
Auf den Plätzen befinden sich eine Vielzahl an Sicherheitslücken hohen, mittleren und niedrigen Schweregrads in verschiedenen Versionen und Build-Nummern der QNAP-Betriebssysteme. Insgesamt sind die folgenden 31 CVE-IDs in der Februar-Ausgabe des QNAP-Sicherheitsbulletins behoben:
CVE-2023-32967, CVE-2023-39297, CVE-2023-39302, CVE-2023-39303, CVE-2023-41273, CVE-2023-41274, CVE-2023-41275, CVE-2023-41276, CVE-2023-41277, CVE-2023-41278, CVE-2023-41279, CVE-2023-41280, CVE-2023-41281, CVE-2023-41282, CVE-2023-41283, CVE-2023-41292, CVE-2023-45025, CVE-2023-45026, CVE-2023-45027, CVE-2023-45028, CVE-2023-45035, CVE-2023-45036, CVE-2023-45037, CVE-2023-47561, CVE-2023-47562, CVE-2023-47564, CVE-2023-47566, CVE-2023-47567, CVE-2023-47568, CVE-2023-48795 und CVE-2023-50359.
Da die Sicherheitslücken verschiedene Revisionen des QNAP-Betriebssystems und seiner Apps betreffen, sollten Admins in der Regel auf die neueste verfügbare Version wechseln. Wer aus Kompatibilitätsgründen von einer bestimmten Revision seines NAS abhängig ist, dem sei ein Blick in die Sicherheits-Übersichtsseite bei QNAP empfohlen. Aber Achtung: Die Risikoeinschätzungen ("Impact") sind nicht hundertprozentig zuverlässig.
QNAP veröffentlicht regelmäßig Sicherheitshinweise zu seinen NAS-Systemen, so etwa im vergangenen Januar und im Dezember letzten Jahres.
(cku)