Qnaps NAS-Betriebssysteme QTS und QuTS hero sind angreifbar. Sicherheitslücken in den Apps License Center und Qsync Central können ebenfalls als Einfallstor dienen. NAS-Besitzer sollten sicherstellen, dass die aktuellen Sicherheitspatches installiert sind.
Anzeige
Wie aus einer Warnmeldung hervorgeht, haben die Entwickler in QTS und QuTS hero insgesamt acht Sicherheitslücken geschlossen. Davon sind drei Stück mit dem Bedrohungsgrad "hoch" eingestuft (CVE-2024-50393, CVE-2024-48868, CVE-2024-48865). Wenn Angreifer die Lücken erfolgreich ausnutzen, können sie unter anderem eigene Befehle ausführen. Attacken sind in den meisten Fällen aus der Ferne möglich. Wie so eine Attacke im Detail ablaufen könnte, ist aber bislang unklar.
Die Schwachstellen haben Teilnehmer des Hacking-Wettbewerbs Pwn2Own entdeckt. Diese Versionen sind gegen mögliche Angriffe gerüstet:
QTS 5.1.9.2954 build 20241120QTS 5.2.2.2950 build 20241114QuTS hero h5.1.9.2954 build 20241120QuTS hero h5.2.2.2952 build 20241116Zusätzlich können entfernte Angreifer an Lücken in License Center (CVE-2024-48863 "hoch") und Qsync Central (CVE-2024-50404 "mittel") ansetzen. Auch hier ist die Ausführung von eigenen Befehlen vorstellbar. Abhilfe schaffen License Center 1.9.43 und Qsync Central 4.4.0.16_20240819 (2024/08/19). Bislang gibt es noch keine Hinweise auf laufende Attacken.
(
Kommentare