QNAP warnt vor schwerwiegenden Sicherheitslücken in seinem NAS-Betriebssystem

Besitzer von Netzwerkspeichern (Network Attached Storage, NAS) von QNAP sollten nach einem aktuellen Sicherheitsupdate Ausschau halten. Das Unternehmen warnt derzeit vor zwei schwerwiegenden Anfälligkeiten in seinem Betriebssystem QTS, die es Angreifern erlauben, eigene Befehle auf den NAS-Geräten auszuführen.

Die jüngsten Versionen von QTS sind der Sicherheitsmeldung zufolge bereits gepatcht worden. Die Version QTS 4.4.3.1421 Build 20200907 schließt demnach die Schwachstellen mit der Kennung CVE-2020-2490 und CVE-2020-2492, die das Unternehmen als Command Injection Vulnerabilities beschreibt.

Weitere Details zu den Bugs hält QNAP derzeit zurück. Von daher ist nicht bekannt, wie sich die Schwachstellen ausnutzen lassen und welche Komponenten angreifbar sind. Das Ausführen von Befehlen aus der Ferne erlaubt es in der Regel aber, die vollständige Kontrolle über ein Geräte zu übernehmen, wie Bleeping Computer anmerkt.

Nutzer sollten die aktuelle OS-Version zeitnah einspielen. In diesem Jahr waren NAS-Produkte von QNAP bereits mehrfach das Ziel von Hackerangriffen. Im September riet das Unternehmen zu einem Firmware-Update, um Angriffe mit der Ransomware AgeLocker abzuwehren.

Vor einer Woche informierte QNAP zudem über Angriffe, bei denen die Zerologon-Lücke in Windows ins Visier genommen wird. NAS-Geräte von QNAP erlauben es unter Umständen, Sicherheitsfunktionen im Netzwerk auszuhebeln.

Ein manuelles Firmware-Update lässt sich in den Systemeinstellungen von QTS anstoßen. Dafür ist eine Anmeldung als Administrator erforderlich. Die Aktualisierung erfolgt über die Live-Update-Funktion beziehungsweise der dort angebotenen Update-Suche.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Hewlett Packard Enterprise übertrifft die Gewinnerwartungen im vierten Fiskalquartal

Der Umsatz steigt um 2 Prozent auf 7,4 Milliarden Dollar. Dazu trägt vor allem die…

11 Stunden ago

Deloitte: Chipkrise hält 2022 an

Zu einer Besserung soll es erst im Jahr 2023 kommen. Besonders betroffen sind Chips mit…

11 Stunden ago

Britische Kartellwächter untersagen Akquisition von Giphy durch Meta

Sie reklamieren Einschränkungen für den Markt für Displaywerbung. Giphy könnte Meta aber auch helfen, Facebooks…

11 Stunden ago

Zero Trust für OT in kritischen Infrastrukturen

Zero Trust in kritischen Infrastrukturen unter Operations Technologie (OT) umzusetzen, ist dringend notwendig, aber eine…

15 Stunden ago

Netzwerksicherheit erfordert professionelle Partner

Netzwerkmanagement in hybriden und Multi-Cloud-Umgebungen muss in eine Gesamtstrategie für Cybersicherheit einbezogen werden. Dafür sind…

16 Stunden ago

AWS bietet Graviton2-basierte EC2-Instanzen für GPU-basierte Workloads

Ein mögliches Einsatzgebiet ist das Streaming von Android-Spielen. Vorteile ergeben sich auch bei der Nutzung…

2 Tagen ago