Qnap veröffentlichte Warnungen vor Sicherheitslücken in QTS, QuTS Hero und QuTScloud
Am Wochenende hat Qnap Warnmeldungen bezüglich einiger gravierender Sicherheitsanfälligkeiten in den Betriebssystemen QTS, QuTS Hero und QuTScloud veröffentlicht. Demnach könnten Angreifer anfällige Systeme aus der Ferne übernehmen. Zudem wurden Sicherheitslücken in zusätzlicher Software entdeckt.
Insgesamt hat Qnap fünf Sicherheitsmitteilungen veröffentlicht. Die schwerwiegendste betrifft drei Schwachstellen in den NAS-Betriebssystemen. Eine fehlerhafte Authentifizierung ermöglicht es Angreifern aus der Ferne, Systeme zu übernehmen (CVE-2024-21899, CVSS 9.8, kritisch). Angemeldete Administratoren könnten über eine SQL-Injection-Schwachstelle in myQNAPcloud Schadcode einschleusen (CVE-2024-21901, CVSS 4.7, mittelschwer), während authentifizierte Benutzer Befehle über das Netzwerk ausführen könnten (CVE-2024-21900, CVSS 4.3, mittelschwer).
Qnap-Betriebssystem Sicherheitswarnungen
Eine zusätzliche Warnung, die am Wochenende herausgegeben wurde, betrifft dieselben Betriebssysteme. Angemeldete Administratoren könnten über das Netzwerk Befehle in das Betriebssystem einschleusen. Die Bewertung von CVE-2023-34975 betrachtet Qnap als mittleres Risiko mit einem CVSS-Wert von 6.6, während das NIST mit einem CVSS-Wert von 8.8 ein kritisches Risiko knapp verfehlt und die Bedrohung als hoch einstuft. Eine zweite ähnliche Schwachstelle erreicht einen etwas niedrigeren CVSS-Wert (CVE-2023-34980, CVSS 5.9, mittel). Darüber hinaus gibt es eine Cross-Site-Scripting-Lücke in den Netzwerk- und Virtual-Switch-Komponenten von QTS, QuTS Hero und QuTScloud (CVE-2023-32969, CVSS 4.9, mittel). Qnap hat zudem mehrere Schwachstellen in der App QuMagie Mobile für Android in der Komponente jackson-databind gemeldet. Außerdem ermöglicht eine Path-Traversal-Schwachstelle in Photo Station, dass authentifizierte Administratoren unbefugt auf Dateien oder sensible Informationen zugreifen können (CVE-2023-47221, CVSS 5.3, mittel).
Seit Ende des vergangenen Jahres steht aktualisierte Firmware zur Verfügung, um die erst jetzt gemeldeten Sicherheitslücken zu beheben. Qnap-Besitzer sollten sicherstellen, dass sie mindestens die folgenden Versionsstände verwenden:
– QTS 5.1.4.2596 Build 20231128
– QTS 5.1.3.2578 Build 20231110
– QTS 4.5.4.2627 Build 20231225
– QuTS Hero h5.1.4.2596 Build 20231128
– QuTS Hero h5.1.3.2578 Build 20231110
– QuTS Hero h4.5.4.2626 Build 20231225
– QuTScloud c5.1.5.2651
– QuTScloud c5.1.0.2498 Build 20230822
– myQNAPcloud 1.0.52 (2023/11/24)
– Photo Station 6.4.2 (2023/12/15)
– QuMagie Mobile 2.2.0.0126 für Android
oder neuere Versionen auf ihren Geräten installieren.
Vor etwa einem Monat hat Qnap ebenfalls mehrere Sicherheitslücken in den NAS-Betriebssystemen QTS, QuTS Hero und QuTScloud geschlossen, die das Einschleusen von Befehlen über das Netzwerk ermöglichten.