Aufgrund von mehreren Sicherheitslücken könnten Angreifer NAS-Systeme von Qnap ins Visier nehmen und nach erfolgreichen Attacken Schadcode ausführen. Da ein Sicherheitsupdate noch nicht verfügbar ist, haben die Entwickler eine App temporär entfernt.

Am gefährlichsten gelten zwei mit dem Bedrohungsgrad "hoch" eingestufte Schadcode-Lücken in den Betriebssystemen QTS und QuTS hero und Multimedia Console. Die Schwachstelle in den Systemen geht auf das Apple File Protocol (AFP) zurück. Hier könnten Angreifer ansetzen und durch einen ausgelösten Speicherfehler (heap-based buffer overflow) Schadcode ausführen. Wie eine Attacke aussehen könnte, ist zurzeit nicht bekannt.

Den Entwicklern zufolge sind dagegen die folgenden Versionen abgesichert:

QTS 5.0.0.1808 build 20211001

QTS 4.5.4.1800 build 20210923

QTS 4.3.6.1831 build 20211019

QTS 4.3.3.1799 build 20211008

QuTS hero h5.0.0.1844 build 20211105

QuTS hero h4.5.4.1813 build 20211006

Die Multimedia-Console-Lücke (CVE-202138684) kann ebenfalls als Schlupfloch für Schadcode dienen. Auch hier sind keine Details zu Angriffsszenarien bekannt. Qnap hat die reparierten Ausgaben 1.4.3 (2021/10/05) und 1.5.3 (2021/10/05) veröffentlicht.

Weitere Schwachstellen

Die Lücke (CVE-2021-34358 "mittel") in QmailAgent könnten als Ansatzpunkt für eine CSFR-Attacke dienen. Abhilfe schafft QmailAgent ab 3.0.2 (2021/08/25). Für die Schwachstelle (CVE-2021-38681 "mittel") in Ragic Cloud DB gibt es noch kein Sicherheitsupdate. Demzufolge hat Qnap die Anwendung temporär aus dem App Center entfernt, bis ein Patch verfügbar ist.

(des)