Die Entwickler von Qnap warnen vor den Sicherheitslücken (CVE-2023-47218, CVSS 5.8, Risiko “mittel“) und (CVE-2023-50358, CVSS 5.8, Risiko “mittel“). Diese befinden sich in den NAS-Betriebssystemen QTS, QuTS hero und QuTScloud. Angreifer können beim erfolgreichen Ausnutzen der Lücke Befehle einschleusen, welche dann über das Betriebssystem ausgeführt werden. Jedoch trifft der CVSS-Wert nur auf die zwei Versionen 5.0.1 und 5.1.x von QTS und QuTS hero zu. Die Versionen QTS und QuTS hero 5.0.0, QTS 4.5.x, 4.4.x, 4.3.6, 4.3.5, 4.3.4, 4.3.x, 4.2.x sowie QuTS hero 4.x und QuTScloud 5.x sind ebenfalls von der Schwachstelle betroffen und werden von den Entwicklern als “hohes” Risiko eingestuft.
Admins sollten daher schnellstmöglich die aktuelle Firmware herunterladen. Dies geschieht am besten über die Weboberfläche, unter “Control Panel” –> “System” –> “Firmware Update” -> “Live Update” -> “Check for Update”. Alternativ lässt sich das Firmware Update auch über den Qnap-Download-Center herunterladen.
Um zu überprüfen, ob das System anfällig ist, kann ein schneller Test durchgeführt werden. Wenn sich das cgi-Skript /cgi-bin/quick/quick.cgi auf dem NAS befindet, ist es verwundbar. Wenn jedoch beim Aufruf von https://<NAS-IP>:<NAS Web-Port>/cgi-bin/quick/quick.cgi eine HTTP-404-Fehlerseite zurückgegeben wird, ist das System nicht anfällig für die Sicherheitslücken.
Sollten Sie Unterstützung benötigen, wenden Sie sich gerne an uns.
E-Mail:
Schreiben Sie eine E-Mail an support@cosus.de.
Telefon:
Kontaktieren Sie unseren technischen Support unter folgender Telefonnummer:
+49 7724 9386 998