Asustor hat fünf Sicherheitslücken im NAS-Betriebssystem Asustor Data Master (ADM) gemeldet, die der Hersteller mit einer aktualisierten Version schließt. Die Lücken stuft der Hersteller als hochriskant ein. Wer Asustor-NAS einsetzt, sollte daher die Updates zügig herunterladen und installieren.

Asustor: NAS-Geräte aus dem Netz angreifbar

Nicht angemeldete Angreifer aus dem Netz können aufgrund unzureichender Filterung von übergebenen Daten beliebige Befehle einschleusen. Wie das gelingt, will Asustor in der Sicherheitsmeldung nicht erläutern, sondern nennt "nicht spezifizierte Angriffsvektoren" (CVE-2023-2910, CVSS 8.8, Risiko "hoch"). Die Schwachstelle schrammt haarscharf an einer Einstufung als "kritisch" vorbei.

Eine weitere Lücke erlaubt lokalen Nutzern, unbefugt die Konfiguration zu verändern (CVE-2023-3699, CVSS 8.7, hoch). Im Druckerdienst können nicht authentifizierte Nutzer aus dem Netz jenseits der vorgesehenen Verzeichnisstrukturen navigieren und Dateien anlegen (CVE-2023-3697, CVSS 8.5, hoch) sowie löschen (CVE-2023-3698, CVSS 8.5, hoch). Außerdem können bösartige Akteure die Funktion zum Umbenennen von Dateien missbrauchen, um Dateien in nicht dafür vorgesehene Verzeichnisse zu verschieben (CVE-2023-4475, CVSS 7.5, hoch).

Alle genannten sicherheitsrelevanten Fehler korrigiert das Asustor Data Master (ADM)-Update auf Version 4.2.3 RK91 oder neuer; betroffen sind ADM-Versionen der Zweige 4.0, 4.1 und 4.2. Die Aktualisierung sollten Asustor-Nutzerinnen und -Nutzer zügig installieren, um nicht Opfer von potenziellen Angriffen zu werden.

Dazu können Administratoren das Live Update aktivieren, was sie beim Log-in auf bereitstehende Updates hinweist, oder automatische geplante Aktualisierungen einrichten, die im vorgegebenen Zeitraum nach Updates suchen und diese auch installieren. Ein manuelles Update ist mit einem ADM-Image möglich, das sich nach Angabe des eingesetzten Gerätes auf der Asustor-Support-Webseite herunterladen lässt.

In der Vergangenheit wurden Sicherheitslücken in Asustor-Firmware unter anderem von der Ransomware Deadbolt angegriffen.

(dmk)