Sicherheitsupdates: Schadcode- und DoS-Attacken auf Qnap NAS möglich
Angreifer können Netzwerkspeicher von Qnap ins Visier nehmen. Sicherheitspatches schaffen Abhilfe.
NAS-Systeme von Qnap sind verwundbar. Sicherheitslücken im Betriebssystem und in verschiedenen Apps können als Einfallstore für Angreifer dienen. Nun hat der Hersteller die Schwachstellen geschlossen.
DoS- und Schadcode-Attacken
Am gefährlichsten gelten mehrere Lücken in QTS und QuTS hero, QuMagie, Netatalk und Video Station. Hier können entfernte Angreifer etwa auf einem nicht näher beschriebenen Weg bestehende Attribute überschreiben und so einen Systemcrash auslösen (CVE-2023-39296 „hoch“). Die Entwickler geben an, die Lücken in den Ausgaben ab QTS 5.1.3.2578 build 20231110 und QuTS hero h5.1.3.2578 build 20231110 geschlossen zu haben. In diesen Versionen haben die Entwickler eigenen Angaben zufolge auch eine Lücke (CVE-2022-43634 „hoch“) in Netatalk aus der Welt geschafft.
Die Fotoverwaltung QUMagie ist unter anderem für Schadcode-Attacken anfällig (CVE-2023-47560 „hoch“). Hier schafft die Version QuMagie 2.2.1 Abhilfe. Video Station kann ebenfalls ein Schlupfloch für Schadcode sein (CVE-2023-41287 „hoch“, CVE-2023-41288 „hoch“). Dagegen ist die Ausgabe 5.7.2 (2023/11/23) gerüstet.
Noch mehr Schwachstellen
Die verbleibenden Lücken sind mit dem Bedrohungsgrad „mittel“ und „niedrig“ eingestuft. Davon sind QcalAgent, QuMagie und QTS und QuTS hero betroffen.
Wer ein Qnap-NAS besitzt, sollte sicherstellen, dass das System und die darauf installierten Apps stets auf dem aktuellen Stand sind. Außerdem sollten der Fernzugriff wirklich nur aktiv sein, wenn er zwingend benötigt wird. Ist das der Fall, sollte der Zugriff im besten Fall über eine durch starke Passwörter verschlüsselte VPN-Verbindung erfolgen. Andernfalls bietet man Angreifern eine unnötige Angriffsfläche.
Immer wieder schlagen in jüngster Vergangenheit Erpressungstrojaner auf NAS-Systeme zu, verschlüsseln Daten und fordern Lösegeld.
Liste nach Bedrohungsgrad absteigend sortiert:
- Vulnerability in QTS and QuTS hero
- Multiple Vulnerabilities in QuMagie
- Multiple Vulnerabilities in Video Station
- Vulnerability in Netatalk
- Vulnerability in QcalAgent
- Vulnerability in QTS and QuTS hero
- Vulnerability in QuMagie
- Multiple Vulnerabilities in QTS and QuTS hero
(des)