Mehrere frisch veröffentlichte Sicherheitslücken in Qnap‑NAS und zugehörigen Apps ermöglichen unter bestimmten Voraussetzungen Angriffe bis hin zu Datenabfluss und DoS – Qnap hat Updates bereitgestellt, die Admins jetzt zeitnah einspielen sollten.[1]

Betroffene Komponenten

• Laut Sicherheitsmeldungen sind u.a. License Center, MARS (Multi‑Application Recovery Service), Qfiling, Qfinder Pro, Qsync, QuMagie, QVPN Device Client sowie die NAS‑Betriebssysteme QTS und QuTS hero betroffen.[1]
• Die Schwachstellen reichen von Out‑of‑Bounds‑Reads über Buffer Overflows bis zu Ressourcen‑Überlastung; Angreifer mit Konto‑/Admin‑Zugriff können etwa Speicher manipulieren, geheime Daten auslesen oder DoS‑Zustände auslösen.[1]

Risiko und Voraussetzungen

• In vielen Fällen ist ein bestehender Benutzer‑ oder Admin‑Account nötig, um die Lücken ausnutzen zu können; vollständig „anonyme“ Remote‑Exploits sind laut bisherigem Stand seltener.[1]
• Das BSI/CERT‑Bund stuft den Schweregrad als hoch ein, auch wenn bisher keine aktiven Angriffe öffentlich bestätigt wurden.[1]

Empfohlene Maßnahmen

• QTS/QuTS hero und alle genannten Apps über das QTS/QuTS‑App Center bzw. die Qnap‑Downloadseiten auf den neuesten Stand bringen (u.a. License Center ≥ 2.0.36).[1]
• Admin‑Accounts absichern (starke Passwörter, 2FA), ungenutzte Dienste/Apps deaktivieren, externe Zugriffe auf HTTPS/VPN beschränken und Log‑Dateien auf Auffälligkeiten prüfen.[1]

Quelle:

1

Hier findest du weiterführende Informationen: Heise