QNAP, der taiwanesische Hersteller von NAS-Geräten (Network-Attached Storage), hat am Freitag Sicherheitsupdates veröffentlicht, um neun Sicherheitslücken zu schließen, darunter eine kritische Schwachstelle, die ausgenutzt werden kann, um ein betroffenes System zu übernehmen.
„Es wurde eine Sicherheitslücke gemeldet, die QNAP VS Series NVR mit QVR betrifft“, so QNAP in einer Mitteilung. „Wenn diese Schwachstelle ausgenutzt wird, können entfernte Angreifer beliebige Befehle ausführen.“
Die Schwachstelle wird als CVE-2022-27588 (CVSS-Score: 9.8) geführt und wurde in QVR 5.1.6 Build 20220401 und höher behoben. Die Schwachstelle wurde vom Japan Computer Emergency Response Team Coordination Center (JPCERT/CC) gemeldet.
Abgesehen von der kritischen Schwachstelle hat QNAP auch drei hochgefährliche und fünf mittelgefährliche Fehler in seiner Software behoben –
CVE-2021-38693 (CVSS-Score: 5.3) – Eine Path-Traversal-Schwachstelle in thttpd, die QNAP-Geräte mit QTS, QuTS hero, QuTScloud und QVR Pro Appliance betrifft und zur Offenlegung von Informationen führt
CVE-2021-44051 (CVSS score: 8.8) – Eine Schwachstelle in QNAP-Geräten mit QTS, QuTS hero und QuTScloud, die die Ausführung beliebiger Befehle ermöglicht
CVE-2021-44052 (CVSS-Score: 6.5) – Eine unsachgemäße Linkauflösung vor dem Dateizugriff („Link Following“) in QNAP-Geräten mit QTS, QuTS hero und QuTScloud, die es Angreifern ermöglicht, Dateien an beliebigen Speicherorten zu lesen/schreiben
CVE-2021-44053 (CVSS-Score: 5.7) – Eine Cross-Site-Scripting (XSS)-Schwachstelle in QNAP-Geräten, auf denen QTS, QuTS hero und QuTScloud laufen, die zu Code-Injection führt.
CVE-2021-44054 (CVSS-Score: 4.3) – Eine offene Umleitungsschwachstelle in QNAP-Geräten mit QTS, QuTS hero und QuTScloud, die es ermöglicht, Benutzer auf unseriöse Webseiten umzuleiten
CVE-2021-44055 (CVSS-Score: 5.3) – Eine fehlende Autorisierungsschwachstelle in QNAP-Geräten, auf denen Video Station läuft, die es Angreifern ermöglicht, auf Daten zuzugreifen oder nicht autorisierte Aktionen durchzuführen
CVE-2021-44056 (CVSS-Score: 7.1) – Eine unzulässige Authentifizierungsschwachstelle in QNAP-Geräten, auf denen die Video Station läuft, was zu einer Kompromittierung des Systems führen kann
CVE-2021-44057 (CVSS-Score: 7.1) – Eine Sicherheitslücke bei der Authentifizierung in QNAP-Geräten mit Photo Station, die zur Kompromittierung des Systems führen kann