Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Mehrere Softwareschwachstellen gefährden Qnap NAS

Es sind wichtige Sicherheitsupdates für verschiedene NAS-Modelle von Qnap erschienen. Sind Attacken erfolgreich, können Angreifer im schlimmsten Fall eigene Befehle ausführen und Geräte kompromittieren. Qnaps Routerbetriebssystem QuRouter OS ist ebenfalls verwundbar.

Anzeige

Wie aus dem Sicherheitsbereich der Qnap-Website hervorgeht, sind neben den NAS-Betriebssystemen QTS und QuTS hero noch die NAS-Anwendungen AI Core, OpenSSH, Media Streamin Add-on, Notes Station 3 und QuLog Center angreifbar.

Bislang hat Qnap keine Attacken vermeldet. Besitzer von NAS-Geräten sollten die verfügbaren Sicherheitsupdates gleichwohl zeitnah installieren.

Die Schwachstelle in QuLog Center (CVE-2024-48862 "hoch") lässt unbefugte Zugriffe auf Daten zu. Eine "kritische" Lücke (CVE-2024-38645) in Notes Station 3 sorgt ebenfalls für einen möglichen Datenleak. Der Großteil der Lücken in QTS und QuTS hero ist mit dem Bedrohungsgrad "mittel" eingestuft (etwa CVE-2024-37024). In diesem Beispiel können sich Angreifer höhere Nutzerrechte verschaffen.

Setzen Angreifer erfolgreich an den Lücken (CVE-2024-48860 "kritisch", CVE-2024-48861 "hoch") in QuRouter an, können sie eigene Befehle ausführen. Aufgrund der Einstufungen ist davon auszugehen, dass sie im Anschluss die volle Kontrolle über Geräte erlangen. Photo Station ist für eine XSS-Attacke (CVE-2024-32767 "mittel") anfällig.

Diese Ausgaben sind gegen die geschilderten Attacken abgesichert:

Anzeige

AI Core ab 3.4.1QuLog Center ab 1.7.0.831 (2024/10/15), 1.8.0.888 (2024/10/15) and laterQuRouter ab 2.4.3.106QTS ab 5.2.1.2930 build 20241025QuTS hero ab h5.2.1.2929 build 20241025Note Station 3 ab 3.9.7Photo Station ab 6.4.3 (2024/07/12)Media Streaming Add-on ab 500.1.1.6 (2024/08/02)

Erst jüngst sorgte ein Sicherheitsupdate für Probleme, und Qnap hat es zurückgezogen.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dennis Schirrmacher)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Wordpress-Plug-in Anti-Spam by Cleantalk gefährdet...
Prochinesische Desinformation: Google entfernt 100...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image