Sicherheitsupdates: Verschiedene Attacken auf Qnap-NAS möglich
(Bild: Tatiana Popova/Shutterstock.com)
Stimmten die Voraussetzungen, können Angreifer Netzwerkspeicher von Qnap mit weitreichenden Folgen attackieren.
Mehrere Sicherheitslücken gefährden NAS-Systeme von Qnap. Sicherheitspatches stehen zum Download bereit. In vielen Fällen sind Attacken aber nicht ohne Weiteres möglich.
Wie aus dem Sicherheitsbereich der Qnap-Website hervorgeht [1], betreffen die Schwachstellen License Center, MARS, Qfiling, Qfinder Pro, Qsync, QuMagie, QVPN Device Client, QTS und QuTS hero. Hinweise zu den Sicherheitsupdates finden Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen.
Die Lücken
Entfernte Angreifer können etwa an einer Schwachstelle (CVE-2025-59384 „hoch“) in Qfiling ansetzen, um unter anderem Systemdaten einzusehen. Die NAS-Betriebssysteme QTS und QuTS hero sind über mehrere Lücken angreifbar. So können Angreifer etwa NAS-Systeme über DoS-Attacken lahmlegen oder auf eigentlich geschützte, geheime Daten zugreifen. Dafür müssen Angreifer aber bereits die Kontrolle über einen Admin-Account erlangt haben. Eine offizielle Einstufung des Bedrohungsgrads dieser Lücken auf der NIST-Website steht derzeit offensichtlich noch aus. Das CERT Bund [2] vom Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Schweregrad als „hoch“ ein.
Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Unklar ist derzeit auch, woran man bereits attackierte Instanzen erkennen kann.
Weiterführende Informationen zu Sicherheitspatches:
- Vulnerability in QuMagie [3]
- Multiple Vulnerabilities in QTS and QuTS hero 1 [4]
- Multiple Vulnerabilities in QTS and QuTS hero 2 [5]
- Multiple Vulnerabilities in License Center [6]
- Vulnerability in MARS (Multi-Application Recovery Service) [7]
- Vulnerability in Qfiling [8]
- Vulnerability in Qfinder Pro, Qsync, and QVPN Device Client (for Mac) [9]
[10](des [11])
URL dieses Artikels:
https://www.heise.de/-11129647
Links in diesem Artikel:
[1] https://www.qnap.com/de-de/security-advisories
[2] https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2026-0011
[3] https://www.qnap.com/de-de/security-advisory/qsa-25-49
[4] https://www.qnap.com/de-de/security-advisory/qsa-25-50
[5] https://www.qnap.com/de-de/security-advisory/qsa-25-51
[6] https://www.qnap.com/de-de/security-advisory/qsa-25-52
[7] https://www.qnap.com/de-de/security-advisory/qsa-25-53
[8] https://www.qnap.com/de-de/security-advisory/qsa-25-54
[9] https://www.qnap.com/de-de/security-advisory/qsa-25-55
[10] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[11] mailto:des@heise.de
Copyright © 2026 Heise Medien