Alert!

Kritische Schadcode-Lücken in NAS-Systemen von Qnap geschlossen

Fehler in verschiedenen Komponenten machen Netzwerkspeicher (NAS) von Qnap verwundbar. Sicherheitsupdates sind verfügbar.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 13 Beiträge

(Bild: Photon photo/Shutterstock.com)

Von
  • Dennis Schirrmacher

Wer ein NAS von Qnap besitzt, sollte das System aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls könnten Angreifer Geräte attackieren und im schlimmsten Fall Schadcode ausführen. Qnap empfiehlt ein zügiges Update.

Am gefährlichsten gilt eine "kritische" Schwachstelle (CVE-2020-2509), die alle NAS-Systeme betrifft. Auf einem nicht näher beschriebenen Weg könnte ein Angreifer die Betriebssysteme QTS und QuTS hero attackieren. Ist das erfolgreich, könnten sie eigene Befehle ausführen.

Die zweite kritische Lücke (CVE-2020-36195) betrifft ausschließlich NAS-Systeme, auf denen das Add-on Multimedia Console oder Media Streaming läuft. Ist das der Fall, sind SQL-Injection-Attacken vorstellbar.

Die weiteren Schwachstellen sind mit dem Bedrohungsgrad "hoch" eingestuft. Eine Lücke (CVE-2018-19942, CVE-2018-19942) könnten Angreifer für XSS-Attacken ausnutzen. Eine weitere Sicherheitslücke (CVE-Nummer noch nicht vergeben) betrifft Twonky-Media-Server. Nach erfolgreichen Attacken könnten Angreifer beispielsweise auf Admin-Passwörter zugreifen. Das Entschlüsseln von Kennwörtern ist ebenfalls vorstellbar.

Die reparierte Twonky-Server-Ausgabe 8.5.2 ist zwar schon verfügbar, bislang aber noch nicht für Qnap-NAS-Systeme.

Weitere Infos zu den Lücken und den gegen diese Attacken abgesicherten QTS- und QuTS-hero-Versionen findet man in den verlinkten Warnmeldungen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)