Fünf Schwachstellen gefährden Netzwerkspeicher (NAS) von Qnap. Die Lücken stecken in den Betriebssystemen QTS und QuTS hero. Nach erfolgreichen Attacken kommt es etwa zu DoS-Zuständen und somit zu Abstürzen.

Mehrere Schwachstellen geschlossen

Am gefährlichsten gilt einer Warnmeldung zufolge eine „kritische“ Sicherheitslücke (CVE-2025-66277), über die Angreifer im Zuge einer Path-Traversal-Attacke auf eigentlich geschützte Bereiche des Dateisystems zugreifen können. Was dann konkret geschieht, ist derzeit nicht bekannt. Aufgrund der kritischen Einstufung ist aber davon auszugehen, dass Systeme danach als kompromittiert gelten.

Aus einer weiteren Warnmeldung geht hervor, dass die DoS-Lücken mit „mittel“ und „niedrig“ (CVE-2025-47205, CVE-2025-58466, CVE-2025-66274, CVE-2025-59386, CVE-2025-48725) eingestuft sind. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen. Die Entwickler versichern, die Sicherheitsprobleme in QTS 5.2.8.3350 build 20251216, QuTS hero h5.2.8.3350 build 20251216 und QuTS hero h5.3.2.3354 build 20251225 gelöst zu haben.

(des)

Die auf Datenschutz spezialisierten Mailanbieter Mailbox.org und Posteo haben laut ihren Transparenzberichten für 2025 zahlreiche Behördenanfragen abgewiesen, die nicht formal korrekt gestellt wurden. Mailbox.org hatte demnach fast 25 Prozent der Anfragen abgewiesen, meist, weil diese unverschlüsselt übertragen wurden. „Auch bei Auskunftsanfragen durch Behörden halten wir uns an die strengen Vorgaben der Bundesnetzagentur, die besagen, dass die Anfragen verschlüsselt vorgenommen werden müssen“, erklärte Balint Gyemant, Chief Product Officer von mailbox.

Insgesamt erreichten Mailbox.org im Jahr 2025 74 Auskunftsanfragen, davon 63 per Mail und davon wiederum 27 unverschlüsselt. Weitere sechs waren aus sonstigen Gründen unrechtmäßig. „Erfreulich ist, dass uns 2025 erstmals keine Anfragen mehr per Fax erreichten. Dies war noch bis 2024 der Fall, obwohl Auskunftsanfragen per Fax eigentlich schon seit 2021 untersagt sind“, sagte Gyemant.

Der Großteil der Auskunftsanfragen an Mailbox.org kam von deutschen Behörden, nur drei stammten von anderen EU-Staaten und eine Anfrage kam von außerhalb der EU. 72 Anfragen wurden im Rahmen der Strafverfolgung gestellt, zwei durch Nachrichtendienste. Nur zwei bezogen sich auf eine Postfachbeschlagnahmung, bei allen anderen ging es um Bestandsdatenabfragen.

Immerhin scheint es bei manchen Behörden einen gewissen Lerneffekt zu geben: In 15 Fällen hätten Ermittlungsbehörden unverschlüsselt übertragene Anfragen nachträglich korrigiert, sodass mailbox.org insgesamt 56 Anfragen beantwortete. 18 Anfragen wurden aber nicht korrigiert und daher abgewiesen. Der Großteil der Anfragen sei 2025 wie im Vorjahr per E-Mail mit PGP verschlüsselt eingegangen. Im Vorjahr wies der Mailanbieter noch eine Quote der Abweisungen von 30 Prozent aus.

Posteo: 27 Beschwerden bei Datenschutzbeauftragten

Posteo zählt für das Jahr 2025 insgesamt 85 Ersuchen, bei denen man nach Prüfung durch die eigenen Anwälte 35 als nicht korrekt einstufte. Das entspricht einer Quote von rund 41 Prozent. Auch hier scheint die Verschlüsselung ihrer Anfragen ein Hindernis für viele Behörden darzustellen: Posteo gibt nämlich an, 2025 27 Beschwerden bei Landesdatenschutzbeauftragten oder Behörden wegen rechtswidrigem, unverschlüsseltem Übermitteln der Behördenersuchen eingereicht zu haben. Ebenfalls sind Beschwerden wegen rechtswidriger Ersuchen nach Verkehrsdaten wie IP-Adressen geplant.

Wie bei mailbox.org richtete sich auch bei Posteo die Mehrzahl der Anfragen, nämlich 72, auf Herausgabe von Bestandsdaten. In vier Fällen ging es um Postfachbeschlagnahmungen, bei zweien um TKÜ, also die Überwachung eines Postfachs für einen bestimmten Zeitraum. In sieben Fällen blieb unklar, was das Anliegen der Behörden war. Auch bei Posteo kamen mit 81 Ersuchen die deutliche Mehrheit von Strafverfolgungsbehörden, vier von Nachrichtendiensten. Mit 79 Anfragen stammte die Mehrzahl von deutschen Behörden.

Anders als Mailbox.org nennt Posteo auch die Zahl der Fälle, in denen Daten herausgegeben wurden: 2025 waren es nur zwei, und zwar jeweils die Herausgabe von Inhaltsdaten im Rahmen einer TKÜ, die nach richterlichem Beschluss erfolgte. Herausgabe von Bestands- und Bezahldaten gab es keine, da die abgefragten Accounts offenbar anonym eingerichtet worden sind, was bei Posteo gegen Bargeldzahlung per Post möglich ist.

Posteo veröffentlicht seit 2014 seine Transparenzberichte und beklagt seitdem auch die Missstände bei Anfragen durch die Behörden, etwa weil darin sensible Daten unverschlüsselt übertragen wurden, die Ersuchen an den Kundensupport gingen und Ähnliches. Einige Fälle finden sich auf der Seite des Transparenzberichts dokumentiert.

Behörden nutzen selber Tuta-Accounts

Anders ist die Lage beim ebenfalls auf Datenschutz ausgerichteten Hannoveraner Mail-Anbieter Tuta (ehemals Tutanota). Der aktualisiert seinen Transparenzbericht halbjährlich und hat laut Zahlen von Anfang Januar insgesamt 75 Prozent aller Behördenersuchen abgewiesen. Die meisten Anfragen gehen auch hier auf Bestandsdaten, im zweiten Halbjahr 2025 waren es 165 Anfragen, bei denen in 19 Fällen Bestandsdaten freigegeben wurden.

Allerdings erfasst Tuta die Gründe für die Ablehnung nicht systematisch, erklärte eine Sprecherin des Unternehmens. Überwiegend würden keine Daten ausgeliefert, weil der angefragte Account nicht oder nicht mehr existiere oder weil die Anfrage fehlerhaft beziehungsweise ungerechtfertigt sei. Das Problem mit unverschlüsselten Anfragen komme allerdings fast gar nicht vor, da die Behörden sich selbst einen Tuta-Account erstellen. Damit könnten sowohl die Anfrage als auch die Auslieferung von Daten Ende-zu-Ende-verschlüsselt per Tuta Mail stattfinden.

(axk)

Admins, die PCs in Firmen mit BeyondTrust Remote Support oder Privileged Remote Access verwalten, sollten die Fernwartungssoftware umgehend auf den aktuellen Stand bringen. Derzeit nutzen Angreifer eine Schwachstelle aus, über die Schadcode auf Systeme gelangt.

Hintergründe

Vor den Attacken warnt ein Sicherheitsforscher von watchTowr auf X. Er weist darauf hin, dass, wenn Systeme nicht gepatcht sind, sie mit hoher Wahrscheinlichkeit kompromittiert sind. Entdeckt haben die „kritische“ Lücke (CVE-2026-1731) Sicherheitsforscher von Hacktron.

Die gegen die derzeit laufenden Attacken abgesicherten Versionen Remote Support 25.3.2 und Privileged Remote Access 25.1.1 sind seit wenigen Tagen verfügbar, aber offensichtlich noch nicht flächendeckend installiert. Weil der Support für Versionen vor 21.3 und 22.1 eingestellt wurde, gibt es keine Sicherheitspatches mehr. Erst nach einem Upgrade auf eine aktuelle Version stehen die Updates zum Download bereit.

Bei SaaS-Kunden wurden die Patches seitens des Softwareherstellers installiert. Admins von On-Prem-Instanzen müssen jetzt handeln. Die Sicherheitsforscher von Hacktron geben an, dass rund 8500 potenziell verwundbare On-Prem-Instanzen öffentlich erreichbar sind.

Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Im Anschluss können Angreifer die volle Kontrolle über Computer erlangen. Dabei sollen Angreifer get_portal_info auslesen, um Zugriff auf X-Ns-Company-Identifier zu bekommen. Im Anschluss richten sie einen WebSocket ein. Danach können sie Schadcode ausführen. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. Unklar ist auch, an welchen konkreten Parametern Admins bereits attackierte Instanzen erkennen können.

(des)