Qnap startet das neue Jahr mit einer Sammlung frischer Sicherheitslücken - und immerhin auch mit passenden Patches. Mehrere Schwachstellen betreffen zentrale Komponenten der NAS-Systeme und deren Software-Ökosystem. Updates stehen bereits bereit. Panik ist trotzdem kein sinnvoller erster Schritt, denn viele der Szenarien setzen mehr voraus als einen offenen Port und schlechte Laune.
Betroffen sind unter anderem License Center, MARS, Qfiling, Qfinder Pro, Qsync, QuMagie, QVPN Device Client sowie die beiden NAS-Betriebssysteme QTS und QuTS hero. Die Details finden Admins gesammelt im Security-Bereich der Website von Qnap. Dort sind auch die jeweiligen Warnmeldungen und Update-Hinweise verlinkt. Kurzfassung: Patchen ist angesagt, Abschalten eher nicht.
Eine der konkreter beschriebenen Lücken steckt in Qfiling. Über eine als „hoch“ eingestufte Schwachstelle können entfernte Angreifer unter Umständen Systeminformationen auslesen. Klingt unschön, ist es auch. Allerdings gilt wie so oft: Der erfolgreiche Angriff hängt stark von der Konfiguration und den bereits vorhandenen Zugriffsrechten ab.
Größer fällt der Blick auf QTS und QuTS hero aus. Hier geht es um mehrere Schwachstellen, über die sich NAS-Systeme per DoS lahmlegen lassen oder über die eigentlich geschützte Daten zugänglich werden könnten. Der Haken - oder die Beruhigung, je nach Perspektive: Angreifer müssen dafür bereits die Kontrolle über einen Admin-Account haben. Es handelt sich also nicht um klassische Drive-by-Lücken, sondern eher um das zweite oder dritte Kapitel einer Angriffskette.
Eine offizielle Bewertung dieser Schwachstellen auf der NIST-Plattform steht aktuell noch aus. Das CERT Bund beim Bundesamt für Sicherheit in der Informationstechnik stuft die Lücken dennoch als „hoch“ ein. Das ist nicht überraschend, schließlich geht es um Systeme, die oft sensible Daten beherbergen und gern dauerhaft online sind.
Positiv: Bislang gibt es keine Hinweise darauf, dass die Schwachstellen bereits aktiv ausgenutzt werden. Negativ: Ebenso unklar ist, wie Admins kompromittierte Systeme zuverlässig erkennen sollen. Wer also wartet, bis es verdächtige Logeinträge regnet, wartet möglicherweise zu lange.
Unterm Strich bleibt es ein bekanntes Muster. NAS-Systeme sind längst keine stillen Datengräber mehr, sondern vollwertige Server mit entsprechend großer Angriffsfläche. Wer sie betreibt, muss sie auch so behandeln. Updates einspielen, Admin-Zugänge absichern, unnötige Dienste abschalten. Keine neue Erkenntnis, aber offenbar immer noch nötig.
Kommentare (0)