Angreifer können Schadcode einschleusen und ausführen
Qnap hat eine kritische Sicherheitslücke in ihren Netzwerk-Speicher-Geräten mit den Betriebssystemen QTS und QuTS hero geschlossen, indem sie die Firmware aktualisierten. Das Unternehmen erklärte, dass Angreifer durch die Schwachstelle eigenen Code einschleusen und ausführen könnten. Der Hersteller bewertet den Schweregrad als kritisch mit einem CVSS-Wert von 9.8 und betrifft die NAS-Betriebssysteme QTS 5.0.1 und QuTS hero h5.0.1. Die Schwachstelle resultiert aus unzureichendem Filtern spezieller Elemente in einem SQL-Befehl und wurde unter dem Schwachstellentyp CWE-89 (Common Weakness Enumeration) aufgeführt. Ein konkreter Angriffsvektor wurde jedoch nicht genannt.
Aktualisierungen stehen zur Verfügung
Administratoren sollten ihr NAS-System auf die Version QTS 5.0.1.2234 Build 20221201 bzw. QuTS hero h5.0.1.2248 Build 20221215 oder eine höhere Version aktualisieren, um das Sicherheitsproblem zu beheben. Die Updates können auf der Support-Status-Webseite von Qnap durch die Suche nach dem NAS-Modell gefunden werden. Eine andere Möglichkeit ist, direkt auf dem betroffenen Gerät im Control Panel unter „System“-„Firmware Update“ und dann beim Punkt „Live Update“ nach verfügbaren Updates zu suchen und diese zu installieren. Qnap hatte zuletzt eine kritische Sicherheitslücke in der optional installierbaren Komponente Photo Station, durch die sich die DeadBolt-Ransomware verbreitete.