Es sind wichtige Sicherheitsupdates für verschiedene NAS-Modelle von Qnap erschienen. Sind Attacken erfolgreich, können Angreifer im schlimmsten Fall eigene Befehle ausführen und Geräte kompromittieren. Qnaps Routerbetriebssystem QuRouter OS ist ebenfalls verwundbar.
Anzeige
Wie aus dem Sicherheitsbereich der Qnap-Website hervorgeht, sind neben den NAS-Betriebssystemen QTS und QuTS hero noch die NAS-Anwendungen AI Core, OpenSSH, Media Streamin Add-on, Notes Station 3 und QuLog Center angreifbar.
Bislang hat Qnap keine Attacken vermeldet. Besitzer von NAS-Geräten sollten die verfügbaren Sicherheitsupdates gleichwohl zeitnah installieren.
Die Schwachstelle in QuLog Center (CVE-2024-48862 "hoch") lässt unbefugte Zugriffe auf Daten zu. Eine "kritische" Lücke (CVE-2024-38645) in Notes Station 3 sorgt ebenfalls für einen möglichen Datenleak. Der Großteil der Lücken in QTS und QuTS hero ist mit dem Bedrohungsgrad "mittel" eingestuft (etwa CVE-2024-37024). In diesem Beispiel können sich Angreifer höhere Nutzerrechte verschaffen.
Setzen Angreifer erfolgreich an den Lücken (CVE-2024-48860 "kritisch", CVE-2024-48861 "hoch") in QuRouter an, können sie eigene Befehle ausführen. Aufgrund der Einstufungen ist davon auszugehen, dass sie im Anschluss die volle Kontrolle über Geräte erlangen. Photo Station ist für eine XSS-Attacke (CVE-2024-32767 "mittel") anfällig.
Diese Ausgaben sind gegen die geschilderten Attacken abgesichert:
Anzeige
Erst jüngst sorgte ein Sicherheitsupdate für Probleme, und Qnap hat es zurückgezogen.
(
Kommentare