Security: Sicherheitslücken betreffen praktisch alle Qnap-NAS-Systeme
Qnap ist sich einiger Sicherheitslücken bewusst(öffnet im neuen Fenster) , die das eigene Betriebssystem QTS betreffen. Damit sind im Prinzip alle Qnap-NAS-Systeme , welche das OS nutzen, ebenfalls angreifbar. Die Sicherheitslücken mit den Kennziffern CVE-2018-19943(öffnet im neuen Fenster) , CVE-2018-19949(öffnet im neuen Fenster) und CVE-2018-19953(öffnet im neuen Fenster) sind bereits in der CVE-Datenbank reserviert. Allerdings sind dort noch keine detaillierten Informationen dazu gelistet.
Qnap gibt an, dass es sich um Lücken mit hohem Risikofaktor handle. CVE-2018-19943 und CVE-2018-19953 sind Cross-Scripting-Sicherheitslücken(öffnet im neuen Fenster) , die das Ausführen von Schadcode auf dem angegriffenen System ermöglichen. Meist werden solche Angriffe über Webseiten ausgeführt. Darauf werden Scripts versteckt, welche die genannten Lücken ausnutzen. CVE-2018-19949 hingegen nutzt laut Qnap Command Injection(öffnet im neuen Fenster) aus, welche meist eine verwundbare, in der Shell ausgeführte Applikation auf dem Betriebssystem nutzt, um Kommandozeilenbefehle auszuführen.
Qnap hat bereits einen Fix parat
Qnap hat wohl bereits eine Lösung in Arbeit. Derzeit wird diese für verschiedene Versionen von QTS ausgerollt. Für folgende Versionen gibt es bereits einen Fix: QTS 4.4.2.1270 Build 20200410, 4.4.1.1261 Build 20200330, 4.3.6.1263 Build 20200330 , 4.3.4.1282 Build 20200408, 4.3.3.1252 Build 20200409 und 4.2.6 Build 20200421.
Generell sollten alle, die ein Qnap-NAS verwenden, ein Update des Betriebssystems durchführen. Dazu rät das Unternehmen in der Supportmeldung. Eine Aktualisierung kann nur mit Administratorrechten ausgeführt werden. Zu finden ist der Prozess als Firmware-Update im Unterpunkt System der Systemsteuerung. Es ist aber auch möglich, das Update von der Webseite herunterzuladen. Im Qnap-Download-Center(öffnet im neuen Fenster) muss dazu die konkrete Modellreihe des eigenen Produktes eingegeben werden.