[English]Der Hersteller QNAP hat zwei kritische Sicherheitslücken in seiner Helpdesk-Anwendung behoben, die es potenziellen Angreifern ermöglichen könnten, ungepatchte NAS-Geräte (Network-Attached Storage) von QNAP zu übernehmen.
Anzeige
Am 7. Oktober 2020 hat QNAP den Sicherheitshinweis QSA-20-08 veröffentlicht, der sich auf die beiden Schwachstellen CVE-2020-2506 und CVE-2020-2507 der Helpdesk-App beziehen. Helpdesk ist die integrierte Anwendung, die mit den NAS-Geräten von QNAP geliefert wird und es Admins ermöglicht, Hilfeanfragen über das Internet an das QNAP-Supportteam zu senden.
- CVE-2020-2506: Bei Ausnutzung dieser Schwachstelle in der Zugangskontrolle auf den Helpdesk könnten Angreifer die Kontrolle über ein QNAP-Gerät erlangen.
- CVE-2020-2507: Wenn diese Schwachstelle in der Zugangskontrolle auf den Helpdesk ausgenutzt wird, könnten Angreifer ebenfalls die Kontrolle über ein QNAP-Gerät erlangen.
Beide Schwachstellen werden vom Hersteller QNAP als kritisch eingestuft. QNAP hat diese Schwachstellen ab Helpdesk 3.0.3 und in späteren Versionen behoben. Der Hersteller empfiehlt dringend, den Helpdesk auf die neueste Version zu aktualisieren, um die Schwachstellen zu beseitigen. Um den Helpdesk zu aktualisieren, sind folgende Schritte erforderlich:
1. Melden Sie sich bei QTS als Administrator an.
2. Öffnen Sie das App Center, und klicken Sie dann auf das Lupensymbol der Suche, so dass das Suchfeld erscheint.
Anzeige
3. Geben Sie "Helpdesk" ein, und drücken Sie dann ENTER. Die Helpdesk-Anwendung wird in den Suchergebnissen angezeigt.
4. Klicken Sie auf Aktualisieren, und warten, dass eine Bestätigung angezeigt wird. Fehlt die Schaltfläche Aktualisieren, ist die neueste Version des Helpdesk bereit installieren.
Bestätigen Sie den Vorgang mit OK, um das Update des Helpdesk anzustoßen. Bleeping Computer hat einen Screenshot der betreffenden Oberfläche veröffentlicht.
Ähnliche Artikel:
Warnung: Schwachstelle in QNAP NAS wird angegriffen, 62.000 Infektionen
QNAP Sicherheitswarnung vor eCh0raix-Ransomwa
QSnatch-Malware zielt auf QNAP-NAS-Laufwerke
Warnung: Ransomware-Angriffe auf QNAP-/Synology-NAS
QNAP-NAS und die gekaperten Hosts-Einträge
NAS: QNAP und Synology von Meltdown/Spectre betroffen
QNAP fixt kritischen Bug, der Datenverlust bewirkt
AgeLocker-Ransomware zielt auf QNAP NAS-Laufwerke
Anzeige
Für alle, die ein bauähnliches Gerät z.B. von Fujitsu einsetzen, in meinem Fall Q805: es besteht die Möglichkeit, auf QTS umzusteigen um vorhandene Sicherheitslücken zu schließen. Siehe https://docs.ts.fujitsu.com/dl.aspx?id=a909110d-ec5b-41de-9ff8-3e40e45f1f84
Allerdings wird eine Neu-Initialisierung empfohlen. Das heißt _alles_ neu einrichten.