Qnap warnt vor Sicherheitslücken im QTS-Betriebssystem
Qnap hat kürzlich mehrere Sicherheitswarnungen veröffentlicht, in denen das Unternehmen auf potenzielle Schwachstellen im QTS-Betriebssystem sowie in der Multimedia Console hinweist. Sie haben auch aktualisierte Softwareversionen veröffentlicht, um diese Sicherheitslücken zu beheben. Es ist dringend empfohlen, dass Administratoren von Qnap-Geräten sicherstellen, dass sie die neuesten Firmware-Versionen verwenden.
Eine der Schwachstellen betrifft die älteren „Legacy“ QTS-Betriebssysteme. In diesen Systemen kann ein Kopiervorgang ohne vorherige Überprüfung der Größe der eingegebenen Daten von böswilligen Akteuren ausgenutzt werden, um schädlichen Code einzuführen und auszuführen. Die genauen Details darüber, wie dies geschieht und wo genau dieser Kopiervorgang stattfindet, wurden von Qnap jedoch nicht offengelegt (CVE-2023-23363, CVSS 8.1, Risikobewertung „hoch“).
Weitere Schwachstellen aufgrund fehlender Längenprüfungen
Die zweite Schwachstelle ist ähnlich wie die vorherige und könnte ebenfalls zu einem Pufferüberlauf führen. Dies geschieht aufgrund fehlender Überprüfungen der Datenlänge während des Kopiervorgangs. In diesem Fall könnten Angreifer die Möglichkeit haben, bösartigen Code einzuführen und auszuführen. Es ist jedoch zu beachten, dass der Hersteller keine genauen Informationen über mögliche Angriffspunkte bereitgestellt hat (CVE-2023-23364, CVSS 8.1, Risikoeinstufung „hoch“).
Die Sicherheitslücken im Qnap-Betriebssystem QTS können durch Updates auf die neuesten Versionen behoben werden, einschließlich QTS 4.3.6.2441 Build 20230621, QTS 4.3.4.2451 Build 20230621, QTS 4.3.3.2420 Build 20230621 sowie QTS 4.2.6 Build 20230621 und später. Diese Updates wurden bereits Ende Juni veröffentlicht. Personen, die diese Updates noch nicht installiert haben, sollten dies jetzt dringend nachholen. Es ist wichtig zu beachten, dass diese Schwachstellen nicht in QTS 5.x, 4.5.x, 4.4.x sowie QuTS hero vorhanden sind, wie von den Qnap-Autoren erklärt wurde.
Die Multimedia Console Versionen 1.4.7 und 2.1.1 beheben ebenfalls diese Sicherheitslücken in der Zusatzsoftware. Diese Updates sind bereits seit Ende März verfügbar, und Betroffene sollten dringend die Aktualisierungen durchführen.
Möglicherweise können Sie die Updates direkt über die Benutzeroberfläche Ihrer Geräte starten. Im Control Panel unter „System“ und „Firmware Update“ können Sie durch Klicken auf „Check for Update“ unter „Live Update“ den Update-Vorgang initiieren. Alternativ können Sie die Updates auch manuell im Download-Center herunterladen, nachdem Sie die Modellnummer eingegeben haben.
In der vergangenen Woche hat Qnap auch vor Sicherheitslücken in den Betriebssystemen QTS, QuTS hero und QuTScloud gewarnt, die Angreifern die Möglichkeit geben, Schadcode einzuführen und auszuführen.