Der NAS-Hersteller kündigt neue Firmware-Versionen an, die eine Menge Sicherheitslücken schließen sollen. Betroffen sind die Betriebssysteme QTS und QuTS hero sowie teilweise QuTScloud. Die gefährlichste Schwachstelle (CVE-2023-45025, 9.0, “kritisch”) betrifft die Versionszweige 5.1 und 4.5 beider Betriebssysteme und QuTScloud 5. Bei dieser Lücke können die Angreifer aus der Ferne eigene Befehle auf die NAS einschleusen, ohne eine Berechtigung zu haben. Die Schwachstelle (CVE-2023-39297, 8.8/10, “hoch”) ermöglicht ebenfalls das Einschleusen von Befehlen. Zusätzlich gibt es eine weitere Schwachstelle (CVE-2023-47568, 8.8/10, “hoch”) welche die drei Versionen betrifft. Hier ist eine SQL-Injection über das Netzwerk möglich.
Neben den drei genannten Sicherheitslücken gibt es noch 28 weitere CVE-IDs:
CVE-2023-32967, CVE-2023-39302, CVE-2023-39303, CVE-2023-41273, CVE-2023-41274, CVE-2023-41275, CVE-2023-41276, CVE-2023-41277, CVE-2023-41278, CVE-2023-41279, CVE-2023-41280, CVE-2023-41281, CVE-2023-41282, CVE-2023-41283, CVE-2023-41292, CVE-2023-45026, CVE-2023-45027, CVE-2023-45028, CVE-2023-45035, CVE-2023-45036, CVE-2023-45037, CVE-2023-47561, CVE-2023-47562, CVE-2023-47564, CVE-2023-47566, CVE-2023-47567, CVE-2023-48795 und CVE-2023-50359.
Diese sind auf verschiedenste Versionen und Build-Nummern verteilt und haben unterschiedliche Schweregrade. Aus diesem Grund sollten Admins auf die aktuellste Version wechseln. Sollte dies aus Kompatibilitätsgründen nicht möglich sein, ist ein Blick auf die Sicherheitsübersicht bei Qnap zu empfehlen, um die Bedrohung einzuschätzen.
Sollten Sie Unterstützung benötigen, wenden Sie sich gerne an uns.
E-Mail:
Schreiben Sie eine E-Mail an support@cosus.de.
Telefon:
Kontaktieren Sie unseren technischen Support unter folgender Telefonnummer:
+49 7724 9386 998