QNAP: Firmware-Updates für ältere NAS-Modelle schließen Remote-Schwachstellen

(Bild: Artur Szczybylo/Shutterstock.com)

QNAP hat zwei Angriffsmöglichkeiten beseitigt, über die wir kürzlich in Zusammenhang mit dem NAS TS-231 berichteten. Auch weitere ältere Modelle sind betroffen.

Kurz vor den Osterfeiertagen hat QNAP ein wichtiges Firmware-Update in Gestalt von QTS 4.3.6.1620 Build 20210322 veröffentlicht. Es soll ältere Netzwerkspeicher-Modelle (NAS), die teils schon den End-of-Life-Status erreicht haben, vor Angriffsmöglichkeiten über zwei kürzlich entdeckte und als kritisch eingestufte Schwachstellen schützen. Die neuere QTS-Version 4.5 war von den Sicherheitsproblemen offensichtlich ebenfalls betroffen, wurde allerdings schon vor längerer Zeit abgesichert; Details dazu nennt der letzte Abschnitt dieser Meldung.

Im Falle verwundbarer Geräte können je nach NAS-Konfiguration Fernzugriffe über das Internet ohne vorherige Authentifizierung möglich sein, um unter anderem beliebige (Shell-)Befehle auszuführen und schreibend auf beliebige Speicherorte zuzugreifen. Eine heise online-Meldung vom vergangenen Wochenende [1] nennt weitere Details zu den Schwachstellen, denen die IDs CVE-2020-2509 und CVE-2021-36195 zugewiesen wurden. Dort fehlte allerdings noch der Hinweis auf das bereits verfügbare Firmwareupdate.

Laut einem Update des Blogeintrags zu den Sicherheitslücken [2] hat QNAP gegenüber deren Entdeckern mittlerweile mitgeteilt, dass nicht nur das NAS-Modell TS-231, sondern auch weitere ältere Modelle angreifbar sind. Welche das im Einzelnen sind, sagt das Unternehmen nicht. Ebenso schweigt es zu den verwundbaren QTS-Versionen: Die Sicherheitsforscher hatten die Schwachstellen ursprünglich in QTS 4.3.6.1446 von September 2020 entdeckt – allerdings blieb unklar, ob noch weitere Versionen angreifbar waren.

Besitzer älterer NAS-Modelle (auch solche mit EoL-Status) sollten sicherheitshalber "auf Verdacht" überprüfen, ob im QNAP Download Center [3] ein aktuelles Firmware-/QTS-Update für das von ihnen eingesetzte Modell bereitsteht. Ein Klick auf den Bereich "Anmerkung" liefert eine Zusammenfassung der jeweils im Update enthaltenen Neuerungen und Security Fixes (nebst CVE-Nummern zur Orientierung).

Wie eingangs erwähnt, ist das abgesicherte QTS 4.3.6.1620 Build 20210322 bereits seit einigen Tagen verfügbar; weitere Aktualisierungen könnten in den kommenden Wochen hinzukommen.

Gegenüber Threatpost [5] äußerte QNAP, dass eine der beiden Schwachstellen, nämlich CVE-2020-2509, auch die QTS-Versionsreihe 4.5 betroffen habe. In dieser (aktuellen) Reihe sei das Sicherheitsproblem allerdings schon vor längerer Zeit behoben worden: Betroffen gewesen seien hier alle Versionen vor QTS 4.5.2.1566 Build 20210202 (Februar 2021) und vor QTS 4.5.1.1495 Build 20201123 (November 2020). Vor Angriffen via CVE-2021-36195 biete ein Update der "Multimedia Console" auf Version 1.3.4 (ebenfalls von Februar 2021) Schutz.

Nutzer der 4.5er-Versionsreihe von QTS, die lange kein Update durchgeführt haben, sollten dies also nachholen und auch die "Multimedia Console" über das QNAP App Center [6] auf den neuesten Stand bringen. Auch Besitzer älterer (kompatibler) Geräte, die aus Sicherheitsgründen manuell auf QTS 4.5 umsteigen wollen, sollten entsprechend auf die Aktualität der Version(en) achten.


URL dieses Artikels:
https://www.heise.de/-6005958

Links in diesem Artikel:
[1] https://www.heise.de/news/QNAP-Kritische-Schwachstellen-erlauben-Uebernahme-von-NAS-Netzwerkspeicher-6004957.html
[2] https://securingsam.com/new-vulnerabilities-allow-complete-takeover/
[3] https://www.qnap.com/de-de/download?model=ts-231&category=firmware
[4] https://www.qnap.com/de-de/release-notes/qts/4.3.6.1620/20210322
[5] https://threatpost.com/qnap-nas-devices-zero-day-attack/165165/
[6] https://www.qnap.com/en/app_center/
[7] mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Copyright © 2021 Heise Medien



Read full article on Heise


Registrieren

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.