Qnap: Sicherheitslücken in Firmware erlauben Einschleusen von Befehlen
Qnap warnt vor Sicherheitslücken im Betriebssystem QTS, QuTS hero und QuTScloud. Angreifer aus dem Netz können dadurch Befehle einschmuggeln.
(Bild: kubais / Shutterstock.com)
Qnap warnt vor Sicherheitslücken in den NAS-Betriebssystemem QTS, QuTS hero und QuTScloud. Angreifer könnten durch sie aus dem Netz Befehle einschleusen, die vom Betriebssystem der Netzwerkspeichergeräte ausgeführt werden. Aktualisierte Firmware steht bereit, welche die Sicherheitslecks abdichtet.
In der Sicherheitswarnung schreibt Qnap, dass es sich um zwei Schwachstellen handelt. Die Beschreibung für beide lautet: Eine Befehlsschmuggel-Schwachstelle wurde in mehreren Qnap-Betriebssystemversionen gemeldet. Sofern sie missbraucht werden, erlauben sie Nutzern, Befehle über das Netzwerk auszuführen (CVE-2023-47218, CVE-2023-50358, CVSS 5.8, Risiko "mittel").
Qnap: Risiko abhängig von Firmware-Version
Der angegebene CVSS-Wert spiegelt offenbar jedoch nicht die ganze Wahrheit wider. Diese Einstufung betrifft nur zwei Versionen von QTS und QuTS hero, jeweils 5.0.1 und 5.1.x . Die Versionen QTS und QuTS hero 5.0.0, QTS 4.5.x, 4.4.x, 4.3.6, 4.3.5, 4.3.4, 4.3.x, 4.2.x sowie QuTS hero 4.x und QuTScloud 5.x erhalten als Risikobewertung "hoch" von den Entwicklern.
Die Sicherheitswarnung listet die Betriebssystemversionen mit den Fehlerkorrekturen im Einzelnen auf. Insbesondere für neuere QTS und QuTS hero-Versionen reichen Firmware-Veröffentlichungen mit Teilkorrekturen bis ins Jahr 2022 zurück. Vollständig korrigierte Firmwares datieren hingegen auf Weihnachten 2023 bis Ende Januar oder sind noch neuer. Administratorinnen und Administratoren sollten sie zügig installieren. Das geschieht am einfachsten über die Administrations-Weboberfläche, unter "Control Panel" – "System" – "Firmware Update" und dort der Auswahl von "Check for Update" unter "Live Update". Alternativ lässt sich die Firmware auch im Qnap-Download-Center herunterladen.
Ein schneller Test hilft laut Qnap bei der Untersuchung, ob das eingesetzte System verwundbar ist. Findet sich auf dem NAS das cgi-Skript /cgi-bin/quick/quick.cgi, ist es anfällig. Liefert der Aufruf von https://<NAS-IP>:<NAS Web-Port>/cgi-bin/quick/quick.cgi hingegen eine HTTP-404-Fehlerseite zurück, ist das System nicht für die Sicherheitslücken anfällig.
Bereits Anfang Februar hatte Qnap Befehlsschmuggel-Lücken mit neuen Firmware-Versionen abgedichtet. Insgesamt umfassten die Korrekturen mehr als 30 CVE-Einträge, einige davon hatten die Risikoeinstufung "kritisch" erhalten.
(dmk)
