Remote Code Execution: LĂĽcken in NAS-Betriebssystem QTS von Qnap geschlossen
Die Qnap-Entwickler haben eine abgesicherte Version von QTS für NAS-Geräte aus dem eigenen Haus veröffentlicht.
Wer ein NAS von Qnap besitzt, sollte das Betriebssystem QTS aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls könnten Angreifer an zwei Sicherheitslücken ansetzen und gegebenenfalls Schadcode auf Systeme schieben und ausführen.
Die beiden Schwachstellen (CVE-2020-2490, CVE-2020-2492) sind mit dem Bedrohungsgrad "hoch" versehen. Einer Warnmeldung von Qnap zufolge sollen entfernte Angreifer die Lücken ausnutzen können, um eigene Befehle auszuführen. Attacken sollen nur mit hohen Nutzerrechten möglich sein.
Die QTS-Version 4.4.3.1421 build 20200907 ist abgesichert. Alle vorigen Fassungen sind angreifbar.
(des)