QNAP, der taiwanesische Hersteller von Network-Attached Storage (NAS)-Geräten, hat am Mittwoch bekannt gegeben, dass er dabei ist, eine drei Jahre alte kritische PHP-Schwachstelle zu beheben, die zur Ausführung von Remote-Code missbraucht werden könnte.
„Es wurde eine Schwachstelle gemeldet, die die PHP-Versionen 7.1.x bis 7.1.33, 7.2.x bis 7.2.24 und 7.3.x bis 7.3.11 mit einer fehlerhaften nginx-Konfiguration betrifft“, so der Hardwarehersteller in einem Advisory. „Wenn die Schwachstelle ausgenutzt wird, können Angreifer Remotecodeausführung erlangen.
Die Sicherheitslücke mit der Bezeichnung CVE-2019-11043 wird im CVSS-System für Schwachstellen mit 9,8 von 10 Punkten bewertet. Es ist daher erforderlich, dass Nginx und php-fpm in Appliances mit den folgenden QNAP-Betriebssystemversionen ausgeführt werden –
QTS 5.0.x und höher
QTS 4.5.x und höher
QuTS hero h5.0.x und später
QuTS hero h4.5.x und später
QuTScloud c5.0.x und später
„Da QTS, QuTS hero oder QuTScloud standardmäßig kein nginx installiert haben, sind QNAP NAS im Standardzustand nicht von dieser Schwachstelle betroffen“, sagte das Unternehmen und fügte hinzu, dass es das Problem in den Betriebssystemversionen QTS 5.0.1.2034 build 20220515 und QuTS hero h5.0.0.2069 build 20220614 bereits entschärft hat.
Die Warnung kommt eine Woche nachdem QNAP bekannt gab, dass es eine weitere Welle von DeadBolt Ransomware-Angriffen auf QNAP NAS-Geräte mit veralteten Versionen von QTS 4.x „gründlich untersucht“.
QNAP fordert seine Kunden nicht nur auf, auf die neueste Version des QTS- oder QuTS hero-Betriebssystems zu aktualisieren, sondern empfiehlt auch, die Geräte nicht mit dem Internet zu verbinden.
Außerdem rät QNAP Kunden, die die Lösegeldforderung nicht finden können, nachdem sie die Firmware aktualisiert und den erhaltenen DeadBolt-Entschlüsselungsschlüssel eingegeben haben, sich an den QNAP-Support zu wenden.
„Wenn dein NAS bereits kompromittiert wurde, mach einen Screenshot der Lösegeldforderung, um die Bitcoin-Adresse aufzubewahren. Aktualisiere dann auf die neueste Firmware-Version und die integrierte Malware Remover-Anwendung wird die Lösegeldforderung, die die Anmeldeseite entführt, automatisch unter Quarantäne stellen“, heißt es.