Werbung
QNAP hat eine Warnmeldung über eine neue Sicherheitslücke in der VS Series NVR veröffentlicht. Die als kritisch eingestufte Schwachstelle wurde unter der Kennung CVE-2022-27588 erfasst und ermöglicht es Angreifern aus der Ferne Code auszuführen. Genaue Details gibt es aus Sicherheitsgründen nicht.
Außerdem wurden Schwachstellen bei den Systemen QTS, QuTS hero und QuTScloud festgestellt. Hier klaffen vier Lücken, die mit der Bedrohungsstufe "hoch" bewertet wurden. Angreifer sind in der Lage eigene Befehle auf den NAS-Geräten auszuführen. Dies ermöglicht es unter anderem Schadcode nachzuladen. Aufgrund der Sicherheitslücken in der Photostation sowie Video Station können die Geräte übernommen werden. Die komplette Warnmeldung sowie eine Installationsanleitung der aktualisierten Firmware findet sich hier.
Grundsätzlich ist es zu empfehlen, den NAS nicht ungeschützt mit dem Internet zu verbinden. Sofern dies möglich ist, sollte man den Netzwerkspeicher offline betreiben und nur über das lokale Netzwerk darauf zugreifen. Fernzugriffe können zum Beispiel mit einer VPN-Verbindung realisiert werden.