NAS aktualisieren: Kritische Sicherheitslücke in QTS und QuTS hero von QNAP
QNAP hat eine kritische Sicherheitslücke in den eigenen NAS-Betriebssystemen QTS und QuTS hero öffentlich gemacht, die unter dem Identifier CVE-2022-27596 geführt wird. Nutzer eines QNAP-NAS sollten prüfen, ob für ihr System ein Update bereitsteht, um die Lücke schnellstmöglich zu schließen.
Da die Sicherheitslücke Angreifern ermöglicht, bösartigen Code auf das QNAP-NAS des Nutzers einzuschleusen und so erheblichen Schaden anzurichten, ist ein zeitnahes Update Pflicht. Die kritische Sicherheitslücke betrifft alle QNAP-NAS, auf denen aktuell QTS 5.0.1 oder QuTS hero h5.0.1 eingesetzt wird. Der Schweregrad der Sicherheitslücke ist mit 9,8 von 10 bewertet, da er ohne Kenntnisse über Benutzerdaten aus der Ferne ohne großen Aufwand von nicht authentifizierten Benutzern auf dem NAS ausgenutzt werden kann.
Details, wie der Angriff ausgeführt werden muss und welche Komponente auf dem NAS genau das Einfallstor darstellt, gibt QNAP wie üblich nicht bekannt. Es scheint sich jedoch um eine SQL-Injection zu handeln.
Update für QTS und QuTS hero steht bereit
QNAP liefert bereits Updates für die beiden Betriebssystemversionen aus. Nutzer müssen, um die Lücke zu schließen, auf QTS 5.0.1.2234 Build 20221201 oder neuer oder QuTS hero h5.0.1.2248 Build 20221215 oder neuer aktualisieren.
Update über NAS oder Website
Um die Software auf dem QNAP-NAS zu aktualisieren, müssen sich Nutzer als Administrator auf der Weboberfläche des NAS anmelden und in der Systemsteuerung unter System zum Eintrag Firmware Update navigieren. Dort kann geprüft werden, ob eine neue Version bereitsteht. Das Update wird dann direkt auf das NAS heruntergeladen und installiert. Alternativ kann im Download Center auf der QNAP-Website das eigene Modell eingetragen und das Update heruntergeladen werden, um es dann auf ein vom Internet isoliertes NAS zu installieren.
NAS sind immer wieder das Ziel umfangreicher Angriffe, bei denen häufig sämtliche Daten auf dem NAS verschlüsselt und Lösegeld von den Nutzers für ihre Freigabe verlangt wird. Das Betriebssystem des NAS auf dem aktuellen Stand zu halten, ist deshalb besonders wichtig.