Qnap behebt NAS-Sicherheitslücke, die bei einem Hacker-Wettbewerb entdeckt wurde

Angreifer könnten eine „kritische“ Sicherheitslücke in HBS 3 Hybrid Backup Sync ausnutzen, um sich auf Qnap-NAS-Geräten Administratorrechte zu verschaffen. Die Entwickler haben diese Schwachstelle nun beseitigt.

Bei dem Hackerwettbewerb Pwn2Own Ireland 2024 gelang es einem Teilnehmer, die Backup-Software erfolgreich anzugreifen. Laut einer Mitteilung des Veranstalters Trend Micro auf X basierte der Angriff auf einer Command-Injection-Schwachstelle (CVE-2024-50388). Der erfolgreiche Angriff brachte dem Teilnehmer ein Preisgeld von 10.000 US-Dollar ein.

Bisher gibt es keine genaueren Informationen darüber, wie ein solcher Angriff im Detail ablaufen könnte. Aus einer Warnmeldung geht jedoch hervor, dass der Hersteller relativ schnell reagiert und die Sicherheitslücke geschlossen hat.

Besitzer eines Qnap-NAS sollten im App Center überprüfen, ob die Version HBS 3 Hybrid Backup Sync 25.1.1.673 installiert ist, die vor der beschriebenen Angriffsmethode schützt.