QNAP: Aktuelle Firmware-Versionen schließen kritische Sicherheitslücken

Die Sicherheit von Netzwerkspeichern wird immer wichtiger, da sie oft sensible Daten und kritische Geschäftsinformationen speichern. Der NAS-Hersteller QNAP hat kürzlich neue Firmware-Versionen für seine Speichergeräte angekündigt die eine Vielzahl an Sicherheitslücken beheben. Sowohl die Firmware QTS sowie die als High-End-Variante vermarktete Version "QuTS hero" sind betroffen. Auch das Betriebssystem QuTScloud, das zur Installation virtueller QNAP-NAS in öffentlichen Clouds dient, weist Sicherheitslücken auf.



Kritische Sicherheitslücke mit hoher Gefährdung


Die gefährlichste Lücke betrifft die Betriebssystemversionen 5.1 und 4.5 und ebenfalls das QuTScloud 5 und wurde mit der CVE-ID CVE-2023-45025 versehen. Dieser Fehler wird mit einem CVSS-Wert von 9.0 als kritisch eingestuft. Angreifer können aus der Ferne eigene Kommandos auf dem NAS einschleusen, ohne dazu berechtigt zu sein. Diese Art von Sicherheitslücke wird als Befehlsschmuggel bezeichnet und ist äußerst gefährlich da sie Angreifern ermöglicht Schadcode auf dem System auszuführen und sensible Daten abzufangen.



Weitere kritische Sicherheitslücken


Zusätzlich zu der oben genannten Lücke wurden auch weitere kritische Sicherheitslücken identifiziert. Die Sicherheitslücke CVE-2023-47568 betrifft ähnlich wie dieselben Betriebssystemversionen & QuTScloud und handelt es sich um eine SQL-Injection mit einem hohen Schweregrad. Diese Schwachstelle ermöglicht es Angreifern, schädlichen SQL-Code einzuschleusen und so die Sicherheit des Systems zu kompromittieren. Des Weiteren gibt es auch eine weitere Lücke mit der CVE-ID CVE-2023-39297 die das Einschleusen von Betriebssystembefehlen durch angemeldete Nutzer ermöglicht.



Insgesamt sind 31 CVE-IDs in der Februar-Ausgabe des QNAP-Sicherheitsbulletins behoben worden. Diese Sicherheitslücken betreffen verschiedene Revisionen des QNAP-Betriebssystems und seiner Apps. Daher sollten Administratoren in der Regel auf die neueste verfügbare Version wechseln um sicherzustellen, dass ihr System geschützt ist. Es ist jedoch wichtig zu beachten, dass die Risikoeinschätzungen in Sicherheitsbulletins nicht immer zuverlässig sind.



Empfehlungen für Administratoren


QNAP veröffentlicht regelmäßig Sicherheitshinweise zu seinen NAS-Systemen um Administratoren über potenzielle Bedrohungen zu informieren. Es ist ratsam die veröffentlichten Sicherheitshinweise zu überprüfen und gegebenenfalls Maßnahmen zu ergreifen um die Sicherheit der NAS-Systeme zu gewährleisten. Administratoren sollten auch sicherstellen, dass ihre Systeme regelmäßig auf Sicherheitsupdates überprüft und aktualisiert werden um potenzielle Sicherheitslücken zu schließen und ihr NAS vor Bedrohungen zu schützen.






Kommentare


Anzeige