Alert!

Sicherheitsupdates: Angreifer können Qnap NAS kompromittieren

Netzwerkspeicher von Qnap sind verwundbar. Angreifer können an mehreren Schwachstellen ansetzen.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen

(Bild: Tatiana Popova/Shutterstock.com)

Lesezeit: 1 Min.

Qnaps NAS-Betriebssysteme QTS und QuTS hero sind angreifbar. Sicherheitslücken in den Apps License Center und Qsync Central können ebenfalls als Einfallstor dienen. NAS-Besitzer sollten sicherstellen, dass die aktuellen Sicherheitspatches installiert sind.

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler in QTS und QuTS hero insgesamt acht Sicherheitslücken geschlossen. Davon sind drei Stück mit dem Bedrohungsgrad "hoch" eingestuft (CVE-2024-50393, CVE-2024-48868, CVE-2024-48865). Wenn Angreifer die Lücken erfolgreich ausnutzen, können sie unter anderem eigene Befehle ausführen. Attacken sind in den meisten Fällen aus der Ferne möglich. Wie so eine Attacke im Detail ablaufen könnte, ist aber bislang unklar.

Die Schwachstellen haben Teilnehmer des Hacking-Wettbewerbs Pwn2Own entdeckt. Diese Versionen sind gegen mögliche Angriffe gerüstet:

  • QTS 5.1.9.2954 build 20241120
  • QTS 5.2.2.2950 build 20241114
  • QuTS hero h5.1.9.2954 build 20241120
  • QuTS hero h5.2.2.2952 build 20241116

Zusätzlich können entfernte Angreifer an Lücken in License Center (CVE-2024-48863 "hoch") und Qsync Central (CVE-2024-50404 "mittel") ansetzen. Auch hier ist die Ausführung von eigenen Befehlen vorstellbar. Abhilfe schaffen License Center 1.9.43 und Qsync Central 4.4.0.16_20240819 (2024/08/19). Bislang gibt es noch keine Hinweise auf laufende Attacken.

(des)