Der führende NAS-Hersteller QNAP Systems hat kritische Sicherheitsupdates für seine Betriebssysteme QTS und QuTS Hero veröffentlicht. Die Aktualisierungen adressieren mehrere schwerwiegende Sicherheitslücken, die während des renommierten Hacking-Wettbewerbs Pwn2Own Ireland im Herbst 2024 aufgedeckt wurden.
Details zu den entdeckten Sicherheitslücken
Die gravierendste Schwachstelle trägt die Kennung CVE-2024-50393 und wurde mit einem CVSS-Score von 8,7 von 10 Punkten bewertet. Diese Sicherheitslücke ermöglicht Angreifern die Remote-Ausführung beliebiger Befehle auf kompromittierten Systemen. Eine weitere kritische Schwachstelle (CVE-2024-48868) mit identischem CVSS-Score betrifft die Anfälligkeit für CRLF-Injection-Angriffe, die durch Manipulation von HTTP-Headern erfolgen können.
Betroffene Systeme und Aktualisierungspfade
QNAP hat Sicherheitsupdates für folgende Systemversionen bereitgestellt:
– QTS 5.1.9.2954 build 20241120
– QTS 5.2.2.2950 build 20241114
– QuTS Hero h5.1.9.2954 build 20241120
– QuTS Hero h5.2.2.2952 build 20241116
Zusätzliche Sicherheitsverbesserungen
Die Updates beheben auch die Schwachstelle CVE-2024-48865 (CVSS 7,3), die Schwächen bei der Zertifikatsvalidierung aufweist und lokale Angriffe ermöglicht. Parallel wurde das QNAP License Center auf Version 1.9.43 aktualisiert, um die Sicherheitslücke CVE-2024-48863 (CVSS 7,7) zu schließen, die ebenfalls Remote-Code-Execution ermöglichte.
Angesichts der Schwere der identifizierten Sicherheitslücken und ihrer potenziellen Auswirkungen auf Unternehmensdaten ist eine umgehende Installation der Sicherheitsupdates zwingend erforderlich. Systemadministratoren sollten nicht nur die Updates zeitnah einspielen, sondern auch ihre Backup-Strategien überprüfen und Netzwerksegmentierung implementieren, um die Angriffsfläche zu minimieren. Die regelmäßige Überwachung von Sicherheitsmeldungen und die proaktive Wartung von NAS-Systemen bleiben fundamentale Bausteine einer robusten IT-Sicherheitsstrategie.
