Alert!

Qnap schließt NAS-Sicherheitslücken aus Hackerwettbewerb

NAS-Modelle von Qnap mit der Backupsoftware HBS 3 Hybrid Backup Sync sind angreifbar. Auch im SMB-Service wurde eine kritische Lücke geschlossen.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen

(Bild: Tatiana Popova/Shutterstock.com)

Update
Lesezeit: 1 Min.

Angreifer können an einer "kritischen" Sicherheitslücke in HBS 3 Hybrid Backup Sync ansetzen und sich auf NAS-Geräten von Qnap Admin-Rechte verschaffen. Auch der SMB-Service ist verwundbar. Nun haben die Entwickler die Schwachstellen geschlossen.

Die Backupsoftware wurde auf dem Hackerwettbewerb Pwn2Own Ireland 2024 von einem Teilnehmer erfolgreich attackiert. Wie der Veranstalter Trend Micro auf X mitteilt, war die Basis des Angriffs ein Command-Injection-Bug (CVE-2024-50388). Das hat dem Teilnehmer ein Preisgeld von 10.000 US-Dollar eingebracht.

Bislang gibt es keine Details, wie so ein Angriff im Detail ablaufen könnte. Wie aus einer Warnmeldung hervorgeht, hat der Hersteller vergleichsweise schnell reagiert und die Lücke geschlossen.

Wer ein Qnap-NAS besitzt, sollte im App Center sicherstellen, dass die gegen die geschilderte Attacke abgesicherte Version HBS 3 Hybrid Backup Sync 25.1.1.673 installiert ist.

Update

Qnap gibt an, noch eine zweite "kritische" Sicherheitslücke (CVE-2024-50387) aus dem Pwn2Own-Wettbewerb geschlossen zu haben. Nach erfolgreichen Attacken verfügen Angreifer über eine Root-Shell. Die Entwickler geben an, die Schwachstelle in den Versionen ab 4.15.002 und h4.15.002 geschlossen zu haben.

Headline und Fließtext entsprechend angepasst.

(des)