Update: Schwachstellen in NAS-Software-Produkten von QNAP

Die Warnmeldung wurde am 13. März 2024 aufgrund weiterführender Informationen aktualisiert. 

Der Hersteller QNAP warnt vor der kritischen Sicherheitslücke CVE-2024-21899 in seinen Betriebssystemen QTS, QuTS hero und QuTScloud sowie seiner Cloud-Lösung myQNAPcloud. Fehlerhafte Authentifizierungsmechanismen ermöglichen Angreifenden Remote-Zugriff auf NAS-Geräte und damit auf Netzwerke. 

CVE-2024-21899 betrifft folgende Versionen der unterschiedlichen Software-Produkte:

• QTS 5.1.x
• QTS 4.5.x
• QuTS hero h5.1.x
• QuTS hero h4.5.x
• QuTScloud c5.x 
• myQNAPcloud 1.0.x Service

Angreifende haben durch die Schwachstellen CVE-2023-50358 und CVE-2023-4721 ohne weitere Authentifizierung umfangreichen Zugriff auf die betroffenen QNAP-Geräte. So sind sie beispielsweise in der Lage, Schadcode einzuschleusen, auszuführen und für ihre Zwecke zu nutzen.

Erschwerend kommt hinzu, dass PoC-Hinweise (Proof of Concept) veröffentlicht wurden. Diese vereinfachen die Ausnutzung der Schwachstellen. Darauf macht das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Cyber-Sicherheitswarnung aufmerksam.

Von CVE-2023-50358 und CVE-2023-4721 betroffen sind folgende Versionen des QNAP-Betriebssystems:

• QTS 4.3.x
• QTS 4.2.x
• QuTScloud c5.x

Sowie ältere Versionen von:

• QTS 5.1.x
• QTS 5.0.1
• QTS 5.0.0
• QTS 4.5.x, 4,4,x
• QuTS hero h5.1.x
• QuTS hero h5.0.1
• QuTS hero h5.0.0
• QuTS hero h4.x

NAS-Geräte speichern große Datenmengen für Unternehmen und Privatpersonen. Die Geräte werden oft nicht genau überwacht, sind ständig mit dem Internet verbunden und verwenden häufig veraltete Betriebssysteme. Daher sind diese Systeme ein beliebtes Ziell von Datendiebstahl und Ransomware.

Mangelnde Sensibilisierung für IT-Sicherheit, unzureichendes Patching oder eine fehlerhafte Konfiguration können dazu führen, dass veraltete Systeme von außen erreichbar sind. Diese Umstände fördern Angriffe. Aufgrund der PoC-Veröffentlichung ist zeitnah mit Angriffen zu rechnen.

• Prüfen Sie, ob Sie die genannten Versionen einsetzen. Wenn ja, aktualisieren Sie die Geräte mit den entsprechenden Versionen.
• Um die Schwachstelle CVE-2024-21899 zu beheben, aktualisieren Sie die jeweilige Software auf die folgenden Versionen:
  • QTS 5.1.3.2578 build 20231110 und höher
  • QTS 4.5.4.2627 build 20231225 und höher
  • QuTS hero h5.1.3.2578 build 20231110 und später
  • QuTS hero h4.5.4.2626 build 20231225 und später
  • QuTScloud c5.1.5.2651 und später
  • myQNAPcloud 1.0.52 (2023/11/24) und später

Bei Updates von QTS, QuTS hero und QuTScloud:

1. Melden Sie sich als Administrator an.
2. Navigieren Sie zu Control Panel > System > Firmware Update.
3. Um den automatischen Installationsprozess des Updates zu starten, klicken Sie auf Check for Update.

Bei Updates von myQNAPcloud:

1. Melden Sie sich als Administrator an.
2. Öffnen Sie das App Center.
3. Klicken Sie auf das Suchfeld und geben Sie myQNAPcloud ein.
4. Drücken Sie ENTER.
   • Das Update sollte in den Ergebnissen erscheinen. 
5. Um das Update zu starten, klicken Sie auf Aktualisieren.

NAS steht für Network Attached Storage. Dies ist ein Speichermedium, das weder Teil eines Rechners ist noch direkt an einen Rechner angeschlossen ist. Vielmehr steht  es über ein Netzwerk zur Verfügung. Dadurch können alle vernetzten Rechner auf das Speichermedium zugreifen. NAS-Systeme verfügen über einen verhältnismäßig großen Speicherplatz und sind einfach zu handhaben. Deshalb werden sie häufig eingesetzt.