NAS aktualisieren: Kritische Sicherheitslücke in QTS und QuTS hero von QNAP

QNAP hat eine kritische Sicherheitslücke in den eigenen NAS-Betriebssystemen QTS und QuTS hero öffentlich gemacht, die unter dem Identifier CVE-2022-27596 geführt wird. Nutzer eines QNAP-NAS sollten prüfen, ob für ihr System ein Update bereitsteht, um die Lücke schnellstmöglich zu schließen.

Da die Sicherheitslücke Angreifern ermöglicht, bösartigen Code auf das QNAP-NAS des Nutzers einzuschleusen und so erheblichen Schaden anzurichten, ist ein zeitnahes Update Pflicht. Die kritische Sicherheitslücke betrifft alle QNAP-NAS, auf denen aktuell QTS 5.0.1 oder QuTS hero h5.0.1 eingesetzt wird. Der Schweregrad der Sicherheitslücke ist mit 9,8 von 10 bewertet, da er ohne Kenntnisse über Benutzerdaten aus der Ferne ohne großen Aufwand von nicht authentifizierten Benutzern auf dem NAS ausgenutzt werden kann.

Details, wie der Angriff ausgeführt werden muss und welche Komponente auf dem NAS genau das Einfallstor darstellt, gibt QNAP wie üblich nicht bekannt. Es scheint sich jedoch um eine SQL-Injection zu handeln.

X

An dieser Stelle steht ein externer Inhalt von X, der den Artikel ergänzt und von der Redaktion empfohlen wird. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

X-Embeds laden

Ich bin damit einverstanden, dass X-Embeds geladen werden. Dabei können personen­bezogene Daten an X übermittelt werden. Mehr dazu in der Datenschutzerklärung.

CVE-2022-27596 : A vulnerability has been reported to affect QNAP device running QuTS hero, QTS. If exploited, this vulnerability allows remote attackers to inject malicious code. We have already fixed this vulnerability in the following... https://t.co/wsy6VF4Oxy

— CVE.report (@CVEreport) January 30, 2023

X-Embeds laden Datenschutzerklärung

Update für QTS und QuTS hero steht bereit

QNAP liefert bereits Updates für die beiden Betriebssystemversionen aus. Nutzer müssen, um die Lücke zu schließen, auf QTS 5.0.1.2234 Build 20221201 oder neuer oder QuTS hero h5.0.1.2248 Build 20221215 oder neuer aktualisieren.

Update über NAS oder Website

Um die Software auf dem QNAP-NAS zu aktualisieren, müssen sich Nutzer als Administrator auf der Weboberfläche des NAS anmelden und in der Systemsteuerung unter System zum Eintrag Firmware Update navigieren. Dort kann geprüft werden, ob eine neue Version bereitsteht. Das Update wird dann direkt auf das NAS heruntergeladen und installiert. Alternativ kann im Download Center auf der QNAP-Website das eigene Modell eingetragen und das Update heruntergeladen werden, um es dann auf ein vom Internet isoliertes NAS zu installieren.

NAS sind immer wieder das Ziel umfangreicher Angriffe, bei denen häufig sämtliche Daten auf dem NAS verschlüsselt und Lösegeld von den Nutzers für ihre Freigabe verlangt wird. Das Betriebssystem des NAS auf dem aktuellen Stand zu halten, ist deshalb besonders wichtig.