Qnap dichtet einen Schwung Pwn2Own-2025-Sicherheitslücken ab

Insgesamt elf Sicherheitsmitteilungen hat Qnap am Wochenende veröffentlicht, die teils kritische Schwachstellen in den NAS-Systemen und zugehöriger Software behandeln. Die Aktualisierungen zu den Mitteilungen stehen bereits zum Herunterladen und Installieren bereit – wer Qnap-Systeme einsetzt, sollte prüfen, ob die Geräte bereits auf dem aktuellen Stand sind.

Details zu den Schwachstellen sind jedoch Mangelware – selbst die CVE-Einträge sind noch nicht veröffentlicht. In QTS und QuTS hero hat Qnap jedoch drei Sicherheitslücken gestopft, die als Zero-Day-Lücke auf der Pwn2Own 2025 in Irland für Angriffe auf die NAS-Speichergeräte attackiert wurden (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849). Ein Angriffsvektor mit CVSS-Wertung fehlt bislang, Qnap stuft das Risiko jedoch als „kritisch“ ein. Die Fehlerkorrekturen bringen QTS 5.2.7.3297 Build 20251024, QuTS hero h5.2.7.3297 Build 20251024 sowie QuTS hero h5.3.1.3292 Build 20251024 und neuere Fassungen mit.

Weitere kritische Lücken finden sich in Hyper Data Protector (CVE-2025-59389), was Version 2.2.4.1 und neuer ausbessern, oder HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842), bei denen Stand 26.2.0.938 oder neuer das Problem beseitigen.

Auch „nicht-Pwn2Own-Lücken“ geschlossen

Qnap bessert jedoch auch andere Schwachstellen aus, die nicht auf der Pwn2Own gefunden wurden. Etwa in QuMagie vor 2.7.0 steckte eine als kritisches Risiko eingestufte SQL-Injection-Lücke, die Angreifern aus dem Netz das Ausführen von Schadcode ermöglichte (CVE-2025-52425).

Weitere Sicherheitsmitteilungen vom Wochenende stopfen Sicherheitslecks, die die Qnap-Entwickler teils als nicht ganz so gravierend einordnen:

• Vulnerability in QuMagie vor 2.7.3 (CVE-2025-58464), Risikoeinstufung „wichtig“
• Multiple Vulnerabilities in Download Station vor 5.10.0.305 (QTS) /.304 (QuTS hero) (CVE-2025-58463, CVE-2025-58465), Einstufung „wichtig“
• Vulnerability in Qsync Central vor 5.0.0.3 (CVE-2025-57712), Einstufung „wichtig“
• Multiple Vulnerabilities in File Station 5 vor 5.5.6.5018 (CVE-2025-47207, CVE-2025-53408, CVE-2025-53409, CVE-2025-53410, CVE-2025-53411, CVE-2025-53412, CVE-2025-53413, CVE-2025-52865, CVE-2025-57706), Einstufung „moderat“
• Vulnerability in Notification Center vor 3.0.0.3466, 2.1.0.3443 und 1.9.2.3163 (CVE-2025-54167), Einstufung „moderat“
• Multiple Vulnerabilities in QuLog Center vor 1.8.2.923 (CVE-2025-54168, CVE-2025-58469), Einordnung „moderat“

Zuletzt hatte Qnap im September hochriskante Sicherheitslücken in QTS und QuTS hero gemeldet. Die Aktualisierungen, die die Probleme beseitigten, waren zu dem Zeitpunkt bereits länger verfügbar.

(dmk)