Qnap schließt kritische Schadcode-Lücken in NAS-Modellen
Wer mit Netzwerkspeichern von Qnap bestimmte Software nutzt, sollte aktuelle Sicherheitsupdates installieren. Switches sind ebenfalls verwundbar.
(Bild: Tatiana Popova/Shutterstock.com)
- Dennis Schirrmacher
Wer einen Netzwerkspeicher (NAS) von Qnap besitzt, sollte aufgrund von mehreren Sicherheitslücken die Software auf den aktuellen Stand bringen. Von den Lücken sind aber nicht alle Geräte betroffen. Einige Switch-Modelle des Herstellers sind ebenfalls angreifbar.
Eine "kritische" Schwachstelle (CVE-2021-34344) betrifft nur NAS-Systeme, auf denen die Software QUSBCam2 läuft. Die Lücke kann als Einfallstor für Schadcode dienen. Qnap gibt an, die folgenden Versionen gegen solche Attacken gerüstet zu haben:
- QTS 4.5.4: QUSBCam2 1.1.4 (2021/07/30)
- QTS 4.3.6: QUSBCam2 1.1.4 (2021/07/30)
- QuTS hero h4.5.3: QUSBCam2 1.1.4 (2021/07/30)
Auch die beiden anderen "kritischen" Schadcode-Lücken (CVE-2021-34345, CVE-2021-34346) betreffen nicht alle NAS-Modelle. Sondern nur die, auf denen NVR Storage Expansion läuft. Die Entwickler geben an, NVR Storage Expansion 1.0.6 (2021/08/03) repariert zu haben.
Drei weitere Lücken (CVE-2021-28816 "hoch", CVE-2021-34343 "hoch", CVE-2018-19957 "mittel") bedrohen alle NAS-Modelle. Die gepatchten QTS-Versionen listet Qnap in Warnmeldungen auf.
- Stack Buffer Overflow Vulnerabilities in QTS, QuTS hero, and QuTScloud
- Insufficient HTTP Security Headers in QTS, QuTS hero, and QuTScloud
Weitere Geräte verwundbar
Das Router-Modell QSW-M2116P-2T2S und alle Router mit QuNetSwitch sind über eine Sicherheitslücke (CVE-2021-28813 "hoch") attackierbar. Sind Attacken erfolgreich, könnten Angreifer sensitive Informationen einsehen. Dagegen sind diese Versionen gerüstet:
- QSW-M2116P-2T2S 1.0.6 build 21071
- QGD-1600P: QuNetSwitch 1.0.6.150
- QGD-1602P: QuNetSwitch 1.0.6.1509
- QGD-3014PT: QuNetSwitch 1.0.6.1519
(des)