Sicherheitslücken: Angreifer können Schadcode auf Qnap NAS schieben
Netzwerkspeicher von Qnap sind verwundbar. In aktuellen Versionen haben die Entwickler Sicherheitsprobleme gelöst.
Angreifer können an mehreren Schwachstellen in den NAS-Betriebssystem QTS oder QuTS hero ansetzen, um Geräte zu attackieren. Im schlimmsten Fall kann Schadcode auf Systeme gelangen.
Alte und neue Lücken
Vor der am gefährlichsten eingestuften Lücke (CVE-2023-47565 "hoch") in der IP-Kamera-Software VioStor NVR dürften die meisten NAS-Besitzer bereits geschützt sein. Schließlich hat Qnap die Schwachstelle eigenen Angaben zufolge bereits in der QVR-Firmware 5.0.0, die 2014 veröffentlicht wurde, geschlossen. Warum die Informationen zur Lücke erst jetzt bekannt werden, ist bislang nicht bekannt. Sind Attacken erfolgreich, können Angreifer eigene Befehle über das Netzwerk ausführen. Wie ein solcher Angriff ablaufen könnte, führen die Entwickler zurzeit nicht aus.
Darüber hinaus gibt es mit QTS 5.1.3.2578 build 20231110 und QuTS hero h5.1.3.2578 build 20231110 noch mehrere Sicherheitsupdates für Samba. Außerdem wurden noch diverse mit dem Bedrohungsgrad "mittel" eingestufte Schadcode-Lücken im System geschlossen. Diese Einstufung wurde vergeben, da ein Angreifer in mehreren Fällen für eine erfolgreiche Attacke bereits Admin sein muss. In dieser Situation kann ein Angreifer ohnehin die volle Kontrolle erlangen.
(des)