Angreifer konnten aus der Ferne eigene Kommandos auf den Geräten einschleusen. Jetzt updaten!
Der Hersteller von Netzwerkspeichergeräten, QNAP, hat kürzlich Firmware-Aktualisierungen für seine Speichergeräte veröffentlicht, um verschiedene Sicherheitslücken zu beheben. Diese Sicherheitsaktualisierungen betreffen sowohl die Firmware QTS als auch die als High-End-Version vermarktete Variante namens „QuTS hero“. Auch das Betriebssystem QuTScloud, das die Installation virtueller QNAP-NAS in öffentlichen Clouds ermöglicht, ist teilweise betroffen. Die durchgeführten Patches stopfen teilweise kritische Sicherheitslücken.
Die bedenklichste Sicherheitslücke betrifft die Versionen 5.1 und 4.5 beider Betriebssysteme sowie das QuTScloud 5 und ist unter der CVE-ID CVE-2023-45025 bekannt. Mit einem CVSS-Wert von 9.0 wird dieser Fehler als kritisch eingestuft. Interessanterweise scheint QNAP in der Web-Version des Sicherheitshinweises fälschlicherweise von einem hohen Schweregrad auszugehen, obwohl der Fehler als kritisch betrachtet wird. Angreifer könnten in der Lage sein, aus der Ferne eigene Befehle auf dem NAS einzuschleusen, ohne die erforderlichen Berechtigungen zu besitzen.
Schadcode-Angriff und SQL-Injection
Ebenfalls betreffen die Sicherheitslücke mit der CVE-ID CVE-2023-47568 dieselben Versionen von QuTS, hero und QuTScloud. Hierbei handelt es sich um eine SQL-Injection mit einem hohen Schweregrad (CVSSv3.1: 8.8/10). Aufgrund der Netzwerkzugänglichkeit der Lücke wird der höhere Punktwert nur durch die erforderlichen Nutzerberechtigungen vermieden. Gleiches gilt für CVE-2023-39297 mit identischem CVSS-Wert, eine weitere Sicherheitslücke von hohem Schweregrad, die es angemeldeten Nutzern ermöglicht, Betriebssystembefehle einzuschleusen. In verschiedenen Versionen und Build-Nummern der QNAP-Betriebssysteme existieren insgesamt 31 CVE-IDs, die in der Februar-Ausgabe des QNAP-Sicherheitsbulletins behoben wurden.
CVE-2023-32967, CVE-2023-39297, CVE-2023-39302, CVE-2023-39303, CVE-2023-41273, CVE-2023-41274, CVE-2023-41275, CVE-2023-41276, CVE-2023-41277, CVE-2023-41278, CVE-2023-41279, CVE-2023-41280, CVE-2023-41281, CVE-2023-41282, CVE-2023-41283, CVE-2023-41292, CVE-2023-45025, CVE-2023-45026, CVE-2023-45027, CVE-2023-45028, CVE-2023-45035, CVE-2023-45036, CVE-2023-45037, CVE-2023-47561, CVE-2023-47562, CVE-2023-47564, CVE-2023-47566, CVE-2023-47567, CVE-2023-47568, CVE-2023-48795 und CVE-2023-50359.
Die Sicherheitslücken variieren in ihrem Schweregrad und betreffen unterschiedliche Revisionen des QNAP-Betriebssystems sowie seiner Apps. In der Regel wird Administratoren empfohlen, auf die neueste verfügbare Version zu aktualisieren. Für diejenigen, die aus Kompatibilitätsgründen von einer bestimmten Revision ihres NAS abhängig sind, wird ein Blick in die Sicherheits-Übersichtsseite von QNAP empfohlen. Es ist jedoch zu beachten, dass die Risikoeinschätzungen („Impact“) nicht hundertprozentig zuverlässig sind.
QNAP veröffentlicht regelmäßig Sicherheitshinweise zu seinen NAS-Systemen, zuletzt im Januar und Dezember des vergangenen Jahres.