QNAP warnt vor schwerwiegenden Sicherheitslücken in seinem NAS-Betriebssystem

Besitzer von Netzwerkspeichern (Network Attached Storage, NAS) von QNAP sollten nach einem aktuellen Sicherheitsupdate Ausschau halten. Das Unternehmen warnt derzeit vor zwei schwerwiegenden Anfälligkeiten in seinem Betriebssystem QTS, die es Angreifern erlauben, eigene Befehle auf den NAS-Geräten auszuführen.

Die jüngsten Versionen von QTS sind der Sicherheitsmeldung zufolge bereits gepatcht worden. Die Version QTS 4.4.3.1421 Build 20200907 schließt demnach die Schwachstellen mit der Kennung CVE-2020-2490 und CVE-2020-2492, die das Unternehmen als Command Injection Vulnerabilities beschreibt.

Weitere Details zu den Bugs hält QNAP derzeit zurück. Von daher ist nicht bekannt, wie sich die Schwachstellen ausnutzen lassen und welche Komponenten angreifbar sind. Das Ausführen von Befehlen aus der Ferne erlaubt es in der Regel aber, die vollständige Kontrolle über ein Geräte zu übernehmen, wie Bleeping Computer anmerkt.

Nutzer sollten die aktuelle OS-Version zeitnah einspielen. In diesem Jahr waren NAS-Produkte von QNAP bereits mehrfach das Ziel von Hackerangriffen. Im September riet das Unternehmen zu einem Firmware-Update, um Angriffe mit der Ransomware AgeLocker abzuwehren.

Vor einer Woche informierte QNAP zudem über Angriffe, bei denen die Zerologon-Lücke in Windows ins Visier genommen wird. NAS-Geräte von QNAP erlauben es unter Umständen, Sicherheitsfunktionen im Netzwerk auszuhebeln.

Ein manuelles Firmware-Update lässt sich in den Systemeinstellungen von QTS anstoßen. Dafür ist eine Anmeldung als Administrator erforderlich. Die Aktualisierung erfolgt über die Live-Update-Funktion beziehungsweise der dort angebotenen Update-Suche.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chinesische Forscher melden Durchbruch im Bereich Quanten-Computing

Das chinesische System soll zumindest bei einer speziellen Berechnung 100-Billionen-Mal schneller sein als der schnellste…

18 Stunden ago

Samsung kündig größte Reorganisation seit drei Jahren an

Das Unternehmen befördert 214 Führungskräfte. Alleine 31 Manager tragen nun den Titel Executive Vice President.…

20 Stunden ago

Malware für den Diebstahl von Finanzdaten versteckt sich hinter Social-Media-Buttons

Die Buttons erlauben angeblich das Teilen von Inhalten per Facebook, Twitter und Instagram. Stattdessen aktivieren…

22 Stunden ago

Phishing-Kampagne nimmt die Kühlkette für COVID-19-Impfstoff ins Visier

Die Hintermänner erhalten nach Einschätzung von IBM X-Force Unterstützung von einem Nationalstaat. Zu den Zielen…

24 Stunden ago

Neue TrickBot-Variante macht sich am BIOS zu schaffen

Derzeit liest TrickBot nur den Schreibschutzstatus des BIOS aus. Die Malware verfügt aber bereits über…

1 Tag ago

8 Prozent aller Apps im Play Store anfällig für alte Sicherheitslücke

Sie steckt in der Bibliothek Play Core, die Google bereitstellt. Angreifer können vertrauliche Daten wie…

1 Tag ago