Wer ein NAS von Qnap besitzt, sollte das Betriebssystem QTS aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls könnten Angreifer an zwei Sicherheitslücken ansetzen und gegebenenfalls Schadcode auf Systeme schieben und ausführen.
Die beiden Schwachstellen (CVE-2020-2490, CVE-2020-2492) sind mit dem Bedrohungsgrad "hoch" versehen. Einer Warnmeldung von Qnap zufolge sollen entfernte Angreifer die Lücken ausnutzen können, um eigene Befehle auszuführen. Attacken sollen nur mit hohen Nutzerrechten möglich sein.
Die QTS-Version 4.4.3.1421 build 20200907 ist abgesichert. Alle vorigen Fassungen sind angreifbar.
Quelle: Remote Code Execution: Lücken in NAS-Betriebssystem QTS von Qnap geschlossen | heise online