Alert!

QNAP: Sicherheitsupdates für QTS wehren "Zerologon"-Angriffe auf NAS ab

Je nach Konfiguration können Netzwerkspeicher von QNAP über die Sicherheitslücke "Zerologon" aus der Ferne angreifbar sein. Updates für QTS stehen bereit.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 15 Beiträge

(Bild: Artur Szczybylo/Shutterstock.com)

Von
  • Olivia von Westernhagen

Laut einem aktuellen Security Advisory sind Netzwerkspeicher (NAS) von QNAP unter bestimmten Voraussetzungen über die kritische Sicherheitslücke CVE-2020-1472 alias "Zerologon" angreifbar. Der Hersteller hat Sicherheitsupdates für sein NAS-Betriebssystem QTS veröffentlicht und empfiehlt, sie zeitnah einzuspielen.

Zerologon war bereits im Zuge des Microsoft-Patchdays im August dieses Jahres bekannt geworden. Microsoft hatte die kritische Lücke, über die sich Angreifer Domänen-Admin-Rechte verschaffen können, damals aus mehreren Windows Server-Versionen entfernt. Seit Mitte September ist Exploit-Code für Zerologon verfügbar; kurze Zeit später warnte Microsoft vor ersten aktiven Angriffen in freier Wildbahn.

FBI und CISA warnten vergangene Woche angesichts zahlreicher noch immer angreifbarer Systeme nochmals vor der Gefahr:

Lesen Sie auch

QNAP NAS könnten via Zerologon angegriffen werden, sofern sie über

Control Panel> Network & File Services> Win/Mac/NFS> Microsoft Networking

als Domain-Controller eingestellt wurden, heißt es im aktuellen QNAP-Advisory QSA-20-07. Abgesichert seien folgende Versionen von QTS:

  • QTS 4.5.1.1456 ab Build 20201015
  • QTS 4.4.3.1439 ab Build 20200925
  • QTS 4.3.6.1446 ab Build 20200929
  • QTS 4.3.4.1463 ab Build 20201006 und
  • QTS 4.3.3.1432 ab Build 20201006.

QTS 2.x and QES seien nicht anfällig für Zerologon.

Zum Updaten von QTS loggt man sich als Admin ein und wechselt zu Control Panel > System > Firmware Update. Bei "Live Update" findet man laut Advisories die Option "Check for Update", die den Download und die Installation der neuesten QTS-Version anwirft. Alternativ kann man über Support > Download Center manuell nach den Aktualisierungen suchen.

Weitere Informationen zu Zerologon finden Sie hier:

(ovw)