Angreifer könnten verschiedene NAS-Modelle von Qnap attackieren und auf persönliche Daten zugreifen. In aktualisierten Versionen des QTS-Systems haben die Entwickler drei Sicherheitslücken geschlossen.
Wie man in Qnaps Sicherheitscenter nachlesen kann, ist eine Schwachstelle (CVE-2018-19945) mit dem Bedrohungsgrad "hoch" eingestuft. Sie betrifft NAS-Modelle, die mit QTS 4.3.4 oder 4.3.6 laufen. Qnap zufolge sind 4.4.x und 4.5.x nicht betroffen. Sind Attacken erfolgreich, könnten Angreifer Dateien von Nutzern manipulieren.
Die beiden verbleibenden Schwachstellen (CVE-2018-19941, CVE-2018-19944) sind mit "mittel" eingestuft. Hier könnten Angreifer unter bestimmten Voraussetzungen auf unverschlüsselte Inhalte zugreifen.
Jetzt patchen!
Um ein NAS auf den aktuellen Stand zu bringen, klickt man im Control Panel unter System auf Firmware Update. Abgesichert sind die folgenden Versionen:
- QTS 4.3.4.0899 build 20190322
- QTS 4.3.6.0895 build 20190328
- QTS 4.4.3.1354 build 20200702
- QTS 4.5.1.1456 build 20201015
- QuTS hero h4.5.1.1472 build 20201031
- QuTScloud c4.5.2.1379 build 20200730
- Improper Limitation of a Pathname to a Restricted Directory in QTS
- Cleartext Transmission of Sensitive Information in SNMP
- Cleartext Storage of Sensitive Information in Cookies