QNAP: Schwachstellen ermöglichen Übernahme von NAS-Systemen

In den NAS-Modellen von QNAP wurden mehrere kritische Schwachstellen entdeckt. Mit den Sicherheitslücken ist es möglich, ein Gerät komplett zu übernehmen und alle darauf gespeicherten Daten zu entwenden. Bislang hat QNAP keinen Patch gegen die Schwachstellen bereitgestellt. Die Sicherheitslücken wurden von einem Team der IT-Security-Plattform SAM entdeckt. Insgesamt handelt es sich um zwei kritische Angriffspunkte, die es unautorisierten Nutzern erlauben, via Remote-Zugriff Code auf den NAS-Systemen von QNAP auszuführen. Den Sicherheitsforschern ist es gelungen, über den Web-Port 8080 beliebige Kommandozeilen-Befehle auszuführen und über den DLNA-Port 8200 Daten in ein Verzeichnis zu schreiben. Sicherheitsforscher haben kritische Schwachstellen in NAS-Systemen von QNAP entdeckt

QNAP hat bisher keinen Patch ausgerollt

Obwohl die Sicherheitsforscher von SAM einen Lösungsvorschlag an QNAP gesendet haben, hat der NAS-Hersteller bisher nicht auf die Probleme reagiert. Die Experten empfehlen den Entwicklern, einige Prozesse und die Schnitt­stel­len einiger Bibliotheken mit zusätzlichen Prüfmethoden für Eingaben auszustatten. Die IT-Security-Plattform hat die Schwachstellen am 12. Oktober bzw. am 29. November an QNAP übermittelt. Dem Hersteller wurde mit­ge­teilt, dass die Sicherheitslücken nach vier Monaten veröffentlicht werden. Die jeweiligen Fristen sind ab 12. Februar bzw. am 29. März abgelaufen.

Schwachstellen betreffen vermutlich mehrere Modelle

Ob QNAP auf die Veröffentlichung der Schwachstellen reagiert und demnächst einen Patch bereitstellt, ist aktuell noch unklar. Von den Lücken scheint die Firmware-Version 4.3.6.1446 auf dem QNAP TS-231 betroffen zu sein. Die Sicherheitsforscher schließen jedoch nicht aus, dass die Angriffspunkte auch in Zusammenhang mit weiteren Modellen und Builds existieren.

Siehe auch: