QNAP warnt vor schwerwiegenden Sicherheitslücken in seinem NAS-Betriebssystem

Besitzer von Netzwerkspeichern (Network Attached Storage, NAS) von QNAP sollten nach einem aktuellen Sicherheitsupdate Ausschau halten. Das Unternehmen warnt derzeit vor zwei schwerwiegenden Anfälligkeiten in seinem Betriebssystem QTS, die es Angreifern erlauben, eigene Befehle auf den NAS-Geräten auszuführen.

Die jüngsten Versionen von QTS sind der Sicherheitsmeldung zufolge bereits gepatcht worden. Die Version QTS 4.4.3.1421 Build 20200907 schließt demnach die Schwachstellen mit der Kennung CVE-2020-2490 und CVE-2020-2492, die das Unternehmen als Command Injection Vulnerabilities beschreibt.

Weitere Details zu den Bugs hält QNAP derzeit zurück. Von daher ist nicht bekannt, wie sich die Schwachstellen ausnutzen lassen und welche Komponenten angreifbar sind. Das Ausführen von Befehlen aus der Ferne erlaubt es in der Regel aber, die vollständige Kontrolle über ein Geräte zu übernehmen, wie Bleeping Computer anmerkt.

Nutzer sollten die aktuelle OS-Version zeitnah einspielen. In diesem Jahr waren NAS-Produkte von QNAP bereits mehrfach das Ziel von Hackerangriffen. Im September riet das Unternehmen zu einem Firmware-Update, um Angriffe mit der Ransomware AgeLocker abzuwehren.

Vor einer Woche informierte QNAP zudem über Angriffe, bei denen die Zerologon-Lücke in Windows ins Visier genommen wird. NAS-Geräte von QNAP erlauben es unter Umständen, Sicherheitsfunktionen im Netzwerk auszuhebeln.

Ein manuelles Firmware-Update lässt sich in den Systemeinstellungen von QTS anstoßen. Dafür ist eine Anmeldung als Administrator erforderlich. Die Aktualisierung erfolgt über die Live-Update-Funktion beziehungsweise der dort angebotenen Update-Suche.