QNAP warnt vor Schwachstelle CVE-2022-27596 in QTS 5.0.1 und QuTS hero h5.0.1

Sicherheit (Pexels, allgemeine Nutzung)[English]NAS-Hersteller QNAP hat eine Sicherheitswarnung für seine QNAP-Produkte herausgegeben. In der Software QTS 5.0.1 und QuTS hero h5.0.1 gibt es eine kritische Schwachstelle CVE-2022-27596, die eine Injektion von Schadcode in die Firmware ermöglicht. Die kritische Schwachstelle wurde mit einem CVSS v3 Score von 9.8 versehen. Es gibt inzwischen Firmware-Updates, um die Schwachstelle zu schließen. Ein Update sollte unverzüglich installiert werden. Ergänzung: Weltweit sind über 29.000 Geräte über die Lücke per Internet angreifbar – in Deutschland sind es über 7.000 NAS-Einheiten.


Anzeige

Die QNAP-Sicherheitsmeldung  QSA-23-01 stammt vom 30. Januar 2023 und trägt den Titel Vulnerability in QTS and QuTS hero.

Vulnerability in QTS and QuTS hero

Dem Hersteller wurde eine Sicherheitslücke gemeldet, die  QNAP-Geräte mit QTS 5.0.1 und QuTS hero h5.0.1 betrifft. Angreifer, die diese Schwachstelle ausnutzen, können Remote bösartigen Code in die Firmware der Geräte einschleusen. Das setzt natürlich voraus, dass die QNAP-Geräte remote auch erreichbar sind.

QNAP hat keine weiteren Details zur Schwachstellen verraten. Die Kollegen von Bleeping Computer weisen hier darauf hin, dass im NIST-Portal die Schwachstelle CVE-2022-27596 die Information "Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')" zu finden ist. Betroffen sind Geräte mit folgender Software:


Anzeige

QTS 5.x
QuTS hero h5.x

Der Hersteller hat die gemeldet Schwachstelle in folgenden Versionen der QNAP-Betriebssysteme beseitigt.

  • QTS 5.0.1.2234 build 20221201 und später
  • QuTS hero h5.0.1.2248 build 20221215 und später

Um Geräte mit dieser Software zu schützen, empfiehlt der Hersteller diese regelmäßig auf den neuesten Update-Stand zu bringen. Dazu soll man sich bei QTS oder QuTS hero als Administrator anmelden und zum Menüpunkt Systemsteuerung > System > Firmware-Update gehen. Dort lässt sich unter Live Update auf Nach Update suchen klicken. Die Betriebssysteme QTS oder QuTS hero sollten dann das neueste verfügbare Update herunterladen und installieren.

Beachtet die Kommentare weiter unten, dass der Fix bereits vor Wochen ausgerollt wurde, die Updates aber bei der Update-Suche nicht gefunden wurden.

Alternativ können Nutzer das Update auch von der QNAP-Website herunterladen. Gehen Sie zu Support > Download Center und führen Sie dann ein manuelles Update für Ihr spezielles Gerät durch.

Über 29.000 Geräte verwundbar?

Bleeping Computer berichtet hier, dass über 29.000 Geräte für diese Schwachstelle anfällig sind. Dies geht aus einem Bericht der Sicherheitsforscher von Censys hervor. Nur etwas mehr als 550 von mehr als 60.000 QNAP NAS-Geräten, die die Censys-Sicherheitsforscher online gefunden haben, wurden gepatcht.

"Censys hat 67.415 Hosts mit Hinweisen auf den Betrieb eines QNAP-basierten Systems beobachtet; leider konnten wir nur von 30.520 Hosts die Versionsnummer erhalten. Aber wenn der Hinweis korrekt ist, wären über 98% der identifizierten QNAP-Geräte für diesen Angriff anfällig", so Senior Security Researcher Mark Ellzey. In Deutschland habe ich über 7.000 Geräte in der Liste gesehen "Wir haben herausgefunden, dass von den 30.520 Hosts mit einer Versionsnummer nur 557 mit QuTS Hero größer oder gleich 'h5.0.1.2248' oder QTS größer oder gleich '5.0.1.2234' arbeiteten, was bedeutet, dass 29.968 Hosts von dieser Sicherheitslücke betroffen sein könnten."


Anzeige

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu QNAP warnt vor Schwachstelle CVE-2022-27596 in QTS 5.0.1 und QuTS hero h5.0.1

  1. Frank sagt:

    Ich kann das iwie nicht mehr verstehen, warum diese Kisten immer noch gekauft werden .. da sind mehr Sicherheitslücken drin, als Daten! ^^

  2. simu sagt:

    Ich habe auf meinem QNAP seit 15.12.2022 Version 5.0.1.2248 drauf…ist also schon lange gepatcht und somit nichts neues.

  3. Singlethreaded sagt:

    Viel spannender finde ich den Sachverhalt, dass dieses Advisory erst gestern veröffentlicht wurde. Die Lücken sind nämlich durch die Updates vom 01.12.2022 bzw. 15.12.2022 behoben worden. Somit geht es um Patches, welche 6 bis 8 Wochen alt sind.

    Entsprechend sollte in Zusammenhang mit der genannten Mindestversion beachtet werden, dass nach der Version "QTS 5.0.1.2234 build 20221201" noch die folgenden Versionen erschienen sind:

    5.0.1.2248 build 20221215:
    [Security Updates]
    – Applied multiple security updates to further enhance system security.

    5.0.1.2269 build 20230104:
    Keine Sicherheitsupdates

    5.0.1.2277 build 20230112:
    [Security Updates]
    – Fixed the security issue CVE-2022-27600.
    – Applied multiple security updates to further enhance system security.

    Man sollte also sicherstellen, dass man wirklich die letzte Version installiert hat und damit kommen wir zum zweiten Klops:

    Zumindest die letzten beiden Versionen wurden mir bei der Firmwaresuche per NAS nicht angeboten. Beim Klick auf "Auf Aktualisierung prüfen" erscheint die Meldung "Die Firmware ist auf dem neusten Stand". Man muss die neue Firmware manuell von der QNAP Webseite laden und dann auch manuell per Datei einspielen.

    Die neuen Versionen haben keine Klassifizierung als "Betaversion". Daher ist es für mich unverständlich, dass kein automatischer Hinweis auf die neuen Versionen erfolgt, insbesondere wenn Sicherheitslücken geschlossen werden.

    • speedy75 sagt:

      Qnap hat wohl was den Rollout neuer Versionen angeht etwas geändert deshalb werden die neuen Versionen nur sehr zeitversetzt auf die NAS Modelle ausgerollt.

      • Singlethreaded sagt:

        Wenn eine neue Version Sicherheitslücken schließt, dann ist eine derart zurückhaltende Verteilung aber mehr als bedenklich. Es wurde ja vor kurzem erst eine Auto-Update Funktion eingeführt, so dass das NAS neue Versionen automatisch installiert. Darauf werden sich einige verlassen.

        Auch hängt die Benachrichtigung per Mail oder Push an dieser Versionsprüfung. Somit erhält der Anwender auch keinen Hinweis das ein Update zur Verfügung steht, welches ggf. manuell eingespielt werden kann.

      • Hummel sagt:

        Ich habe das Update auch manuell heruntergeladen, da es über die Aktualisierung nicht angeboten wurde.
        Die Version stammte vom 18.01.23, wir haben jetzt den 31.01.
        "Sehr zeitversetzt" heisst bei denen wohl "nächstes Jahr um 12.
        QNAP war schon einmal besser drauf.
        Gruß

    • Henry Barson sagt:

      Keine Betaversion, nein, aber bspw. bei einem von mir betreuten Backup-Silo (TS-431XeU) angezeigt als Funktionsupdate, nicht als Sicherheits-Update und entsprechend auch nicht automatisch ausgerollt.

  4. Bernd sagt:

    Der letzte Schr… Es gibt kein NAS mit mehr Lücken…

  5. Thomas sagt:

    Das Problem ist eher, dass zu viele Consumer User die Kisten ins Netz hängen mit Apps wie "QnapCloud" oder Photostation, am besten mit Portweiterleitungen auf das NAS. Leider wird dass von den Herstellern auch noch so beworben "Build your own Cloud". Ich betreibe seit Jahren zwei von außen erreichbare Systeme v. Qnap per VPN hinter meinem Router. (Aktuell m. Wireguard VPN) . Da gibt es keine Themen, aber man muss es eben so implementieren.
    VG

    • Singlethreaded sagt:

      Das stimmt. In diesem Punkt sind diese Kisten Fluch und Segen zugleich. Man hat unheimlich viele Möglichkeiten und Features. So kann man mit wenigen Klicks vieles erreichen auch wenn man wenig von der Materie versteht. Genau da liegen aber auch die Gefahren, denn ohne Hintergrundwissen ist es schwer die möglichen Konsequenzen der eigenen Handlungen abzuschätzen.

      Auch liefert QTS viele Funktionen mit, welche wohl ehr selten in einem Heimnetzwerk verwendet werden, wie z.B. iSCSI, Virtualisierung oder komplexe RAID-Systeme mit Tiering zwischen SSDs und Festplatten.
      Das kann einen Endanwender auch schnell überfordern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.