Anzeige

QNAP: Zwei Schwachstellen, Nutzer sollten Update einspielen

Mittlerweile setzen viele Anwender einen Netzwerkspeicher ein. Schaut man sich bei den Modellen mit vielen Funktionen um, dann landet man schnell bei Synology und natürlich auch QNAP. Letztgenanntes Unternehmen weist aktuell darauf hin, dass man doch bitte schauen sollte, dass auch das aktuelle Update der System-Software, die heißt QTS, eingespielt ist und Anwendungen aktuell sind.

Man habe Schwachstellen (CVE-2020-2490 & CVE-2020-2492) in QTS gefunden, bzw. sei auf diese aufmerksam gemacht worden. Wenn diese beiden Schwachstellen ausgenutzt werden, könnten entfernte Angreifer beliebige Befehle ausführen. Wie genau ein solches Szenario aussieht, wurde nicht beschrieben. Vermutlich dürfte nichts passieren, wenn das NAS nicht von außerhalb des eigenen Netzes erreichbar ist.

QNAP hat diese Probleme bereits in QTS 4.4.3.1421 Build 20200907 und späteren Versionen behoben. Um das Gerät zu sichern und Daten vor Angriffen und unbefugtem Zugriff zu schützen, empfehle man dringend, QTS und alle installierten Anwendungen auf die neuesten Versionen zu aktualisieren, um von den Schwachstellenbehebungen zu profitieren.

In diesem Artikel sind Amazon-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. ach, mal wieder?
    läuft ja bei qnap. ich habe „leider“ auch eine gekauft, würde ich nicht mehr tun. Docker ist bei Version 17.03 inzwischen gibt es 19.03 und QNAP macht keine anstalten, ein update zu liefern. Selbst updaten geht leider nicht, und der Support kann es nur an die Entwickler nach Taiwan weitergeben… dazu noch die ständigen Sicherheitslücken, klasse Gerät!

    https://stadt-bremerhaven.de/qnap-qsnatch-malware-noch-auf-ueber-60-000-geraeten-aktiv/
    https://stadt-bremerhaven.de/qnap-sicherheits-updates-gegen-zerologon-schwachstelle/

    • Ich stimme voll und ganz zu, mir geht die ständige Updaterei auch langsam auf den Zeiger. Ich habe geschäftlich mehrere im Einsatz und kann im Prinzip jede Woche wegen irgendwelcher Sicherheitslöcher alle einmal neu starten.

    • Pack Debian drauf, hab ich auch gemacht.

      Die extrem veralteten SW-Versionen bei QNap waren für mich nicht mehr akzeptabel. Man kann ja diskutieren, aber die Faustregel ist:“Wenn deine SW-Version älter ist als in Debian Stable, solltest du über ein Update nachdenken“.

      Dazu kamen die seit QTS Version immer öfter „strangen“ Designentscheidungen nach dem Motto „Irgendwas rein frickeln damit man mit Feature werben kann“. QTS ist mittlerweise so dermaßen bloated, dass mich die Sicherheitslücken nicht wundern. Die Komplexität beherscht keiner. Wenn ich dran denke dass QNap auch im Businessbereich Produkte anbietet, gruselt es mich nur noch.

      Btw, Debian läuft einwandfrei auf meinem alten HS-251. Twonky über Docker Sache von Minuten. Keine „Vorschaugenerierungsorgien“ mehr.

  2. Ich bin eigentlich auch drauf und dran mir das QNAP TS-453D zuzulegen, aber die häufigen Nachrichten zu Sicherheitslücken machen mir doch etwas Sorgen, zumal die Kiste auch außerhalb des Heimnetzes erreichbar sein soll.

    • Die Meldungen zu Sicherheitslücken sind vollkommen normal und richtig diese zu veröffentlichen. Es gibt keine Software oder Betriebssysteme, die frei von Fehler oder Sicherheitslücken sind.

      Ichh bekommen tägliche etliche eMails von RedHat mit Updates und Sicherheitswarnungen zu deren Linux- und Container-Produkten.

      Meine Qnap ist längst upgedatet und ein Angreifer muss erst mal darauf kommen um Schaden anzurichhten – das ist schon mal das erste, was man sicherstellen muss – keinen Zugriff von aussen erlauben.

  3. Solche Nachrichten werden bei QNAP auch echt nicht weniger. Schade eigentlich, da ich ansonsten sehr zufrieden mit meiner NAS bin.

  4. TierParkToni says:

    Ich bin gespannt, wann die erste Meldung kommt, dass dank des aktuellen Security-Updates Basisfeature-X oder Sonderfeature-Y nicht mehr geht und damit auch als quasi abgekündigt gilt.
    Wäre nicht das erste Mal und wird bei den QNAP-Fricklern auch nicht das letzte Mal gewesen sein.
    Die IT-SM-Orgie, die ich mit meinen QNAPs und SYNOLOGYs mitgemacht habe – nein danke.
    Da lieber einen W10 Home-Mini-PC mit nem 10fach-USB3-Hub und alles auf externen Platten im heimischen Netz freigeben als wieder so einen teuren IT-Schrott zu kaufen.
    Ich hab mir inzwischen alles auf eine komplett neue unRAID-Plattform installiert, läuft seit Monaten ohne Probleme : virtuelle W10-Maschinen incl. Grafikkarten-Beschleunigung, nach außen ein Open- bzw. FreeNAS ebenso (im Container) sowie intern ein redundant-sicheres NAS-Storage – für 119 € Lizenz und einer aktuellen AMD-Plattform.

  5. Christian R. says:

    Also ich habe vor dem Zugriff auf mein QNAP eine enfach Basic-Auth aktiviert.
    Ist damit natürlich ein Schritt mehr, wenn ich vom Browser auf diese Zugreife, aber es gibt mir ein erhöhtes Sicherheitsgefühl.
    Auch irgendwelche Scan-Bots wissen dann nicht, was sich hinter der Basic-Auth befindet.
    Da der Zugriff von außen nur noch mit Basic-Auth geht, ist es nicht mehr möglich vom Handy per App drauf zuzugreifen.
    Dies habe ich über VPN gelöst. Möchte ich von meinem Smartphone von unterwegs auf meine Daten drauf zugreifen, wähle ich mich zuerst in mein VPN ein und kann dann die App normal verwenden.

    Sicherheits-Updates spiele ich natürlich auch ein. Ich eroffene mir aber damit nicht bei jeder Sicherheitlücke sofort das Update einzuspielen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.