Warten auf Patches: Sicherheitsforscher untersuchen NAS-System Qnap QTS

Warten auf Patches: Sicherheitsforscher untersuchen NAS-System Qnap QTS

Verwundbarkeit der NAS-Systeme


Netzwerkspeicher (NAS) von Qnap weisen Sicherheitslücken auf – im schlimmsten Fall kann Schadcode ausgeführt werden. Zwar sind bereits einige Sicherheitsupdates veröffentlicht – alle Probleme haben die Entwickler aber noch nicht gelöst. Eine spezifische Sicherheitslücke ist bereits mit Exploitcode ausgestattet. Angriffe könnten deshalb unmittelbar bevorstehen.



Sicherheitsforscher entdecken Schwachstellen


Während ihrer Analyse des NAS-Betriebssystem Qnap QTS haben Sicherheitsforscher von Watchtowr insgesamt 15 Sicherheitslücken identifiziert. Dies wird detailliert in einem kürzlich veröffentlichten Bericht dargelegt. Vier dieser Lücken habe Qnap bisher geschlossen. Untersuchungen durch den NAS-Hersteller sind zu sechs Schwachstellen derzeit im Gange. Keine weiterführenden Informationen gibt es derzeit zu den verbleibenden Schwachstellen.



Einstufung der Bedrohungen


Einstufungen des Bedrohungsgrads fehlen trotz einiger zugewiesener CVE-Nummern noch. Einige Schwachstellen wurden bereits im April dieses Jahres durch Patches für QTS 5.1.6.2722 build 20240402 und QuTS hero h5.1.6.2734 build 20240414 beseitigt. Qnap stuft diese mit „mittel“ ein. Angreifer benötigen allerdings meist Zugriff auf ein gültiges NAS-Konto & Netzwerkzugriff, Attacken sind daher nicht sofort möglich.



Mögliche Angriffsszenarien


Außerdem: Welche Möglichkeiten hätten Angreifer? Es bedarf gültiger NAS-Accounts und Netzwerkzugriff – präparierte Anfragen resultieren in der Ausführung eigenen Codes aufgrund unzureichender Überprüfungen. Außerdem können die Angreifer die Zwei-Faktor-Authentifizierung umgehen.



Unsicherheit über zukünftige Updates


Ob und wann die Entwickler die verbleibenden Sicherheitslücken schließen werden, bleibt unklar. Eine Anfrage von heise Security blieb bislang unbeantwortet. Sicherheitsforscher empfehlen, NAS-Geräte von Qnap bis auf Weiteres offline zu nehmen.






Kommentare


Anzeige