Alert!

Kritische Lücken in Videoüberwachungssoftware QVR von Qnap NAS geschlossen

Angreifer könnten Netzwerkspeicher von Qnap mit QVR-Software attackieren und Schadcode ausführen. Ein Update gibt es auch für EOL-Geräte.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag

(Bild: AFANASEV IVAN/Shutterstock.com)

Von
  • Dennis Schirrmacher

Wer sein NAS von Qnap zur Videoüberwachung nutzt, sollte die QVR-Software zeitnah aktualisieren. Die Entwickler haben darin drei Sicherheitslücken geschlossen. Ob es bereits Attacken gibt, ist zurzeit unbekannt.

Zwei Schwachstellen (CVE-2021-34348, CVE-2021-34351) sind mit dem Bedrohungsgrad "kritisch" eingestuft. Den verfügbaren Informationen zufolge könnten Angreifer die Lücken aus der Ferne ausnutzen und im Anschluss eigene Befehle auf Geräte ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Geräte dann vollständig kompromittiert sind. Wie Attacken im Detail ablaufen könnten, ist bislang nicht bekannt. Die dritte Lücke (CVE-2021-34349) ist mit "hoch" eingestuft. Auch hier könnten Angreifer nach erfolgreichen Attacken eigene Befehle ausführen.

Wie aus einer Warnmeldung von Qnap hervorgeht, sind davon einige Geräte betroffen, die sich nicht mehr im Support (EOL) befinden. Dennoch liefern die Entwickler die gegen die geschilderten Attacken abgesicherte QVR-Version 5.1.5 build 20210803 auch für EOL-Geräte aus.

(des)