Sicherheitsupdates: Verschiedene Attacken auf Qnap-NAS möglich

Mehrere Sicherheitslücken gefährden NAS-Systeme von Qnap. Sicherheitspatches stehen zum Download bereit. In vielen Fällen sind Attacken aber nicht ohne Weiteres möglich.

Wie aus dem Sicherheitsbereich der Qnap-Website hervorgeht, betreffen die Schwachstellen License Center, MARS, Qfiling, Qfinder Pro, Qsync, QuMagie, QVPN Device Client, QTS und QuTS hero. Hinweise zu den Sicherheitsupdates finden Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen.

Die Lücken

Entfernte Angreifer können etwa an einer Schwachstelle (CVE-2025-59384 „hoch“) in Qfiling ansetzen, um unter anderem Systemdaten einzusehen. Die NAS-Betriebssysteme QTS und QuTS hero sind über mehrere Lücken angreifbar. So können Angreifer etwa NAS-Systeme über DoS-Attacken lahmlegen oder auf eigentlich geschützte, geheime Daten zugreifen. Dafür müssen Angreifer aber bereits die Kontrolle über einen Admin-Account erlangt haben. Eine offizielle Einstufung des Bedrohungsgrads dieser Lücken auf der NIST-Website steht derzeit offensichtlich noch aus. Das CERT Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Schweregrad als „hoch“ ein.

Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Unklar ist derzeit auch, woran man bereits attackierte Instanzen erkennen kann.

Weiterführende Informationen zu Sicherheitspatches:

(des)