Qnap schließt NAS-Sicherheitslücken aus Hackerwettbewerb
NAS-Modelle von Qnap mit der Backupsoftware HBS 3 Hybrid Backup Sync sind angreifbar. Auch im SMB-Service wurde eine kritische Lücke geschlossen.
Angreifer können an einer "kritischen" Sicherheitslücke in HBS 3 Hybrid Backup Sync ansetzen und sich auf NAS-Geräten von Qnap Admin-Rechte verschaffen. Auch der SMB-Service ist verwundbar. Nun haben die Entwickler die Schwachstellen geschlossen.
Hintergrund
Die Backupsoftware wurde auf dem Hackerwettbewerb Pwn2Own Ireland 2024 von einem Teilnehmer erfolgreich attackiert. Wie der Veranstalter Trend Micro auf X mitteilt, war die Basis des Angriffs ein Command-Injection-Bug (CVE-2024-50388). Das hat dem Teilnehmer ein Preisgeld von 10.000 US-Dollar eingebracht.
Bislang gibt es keine Details, wie so ein Angriff im Detail ablaufen könnte. Wie aus einer Warnmeldung hervorgeht, hat der Hersteller vergleichsweise schnell reagiert und die Lücke geschlossen.
Sicherheitsupdate verfügbar
Wer ein Qnap-NAS besitzt, sollte im App Center sicherstellen, dass die gegen die geschilderte Attacke abgesicherte Version HBS 3 Hybrid Backup Sync 25.1.1.673 installiert ist.
Qnap gibt an, noch eine zweite "kritische" Sicherheitslücke (CVE-2024-50387) aus dem Pwn2Own-Wettbewerb geschlossen zu haben. Nach erfolgreichen Attacken verfügen Angreifer über eine Root-Shell. Die Entwickler geben an, die Schwachstelle in den Versionen ab 4.15.002 und h4.15.002 geschlossen zu haben.
Headline und Fließtext entsprechend angepasst.
(des)