
QNAP veröffentlicht Firmware-Patches für 9 Schwachstellen in Videoüberwachungssystemen und NAS-Geräten
von Tina Siering

Der taiwanesische Hersteller QNAP hat eine Reihe von Sicherheitsupdates für Sicherheitslücken veröffentlicht, darunter auch eine Schwachstelle, die das Unternehmen als kritisch klassifiziert.
„Es wurde eine Sicherheitslücke gemeldet, die QNAP VS Series NVR mit QVR betrifft“, so QNAP in einer Mitteilung. „Wenn diese Schwachstelle ausgenutzt wird, können entfernte Angreifer beliebige Befehle ausführen.“ Betroffen sind das Videoüberwachungssystem VS Series NVR sowie verschiedene Modelle von Network-Attached-Storage-Geräten (NAS). QNAP-Administratoren sollten die bereitgestellten Aktualisierungen zeitnah einspielen.
Die jüngste Schwachstelle im Videoüberwachungssystem wird als CVE-2022-27588 (CVSS-Score: 9.8) geführt und wurde im QVR 5.1.6 Build 20220401 und höher behoben.
Außerdem behebt QNAP weitere als “mittel” und “hoch” eingestufte Schwachstellen im Betriebssystem und der Software von NAS-Geräten: Betroffen sind die Systeme QTS, QuTS hero und QuTScloud sowie Photo Station und Video Station. Angreifer könnten eigene Befehle auf den Geräten ausführen und die Sicherheit von Systemen kompromittieren.
In den nachfolgend verlinkten Warnmeldungen des Herstellers finden sich Informationen zu den abgesicherten Versionen aller betroffenen Geräte:
Schwachstelle in QVR:
- CVE-2022-27588 (CVSS-Score: 9.8)
Diese Schwachstelle wurde in QVR 5.1.6 Build 20220401 und höher behoben. Gemeldet wurde sie vom Japan Computer Emergency Response Team Coordination Center (JPCERT/CC).
Handlungsempfehlung:
In seiner Warnmeldung stuft das Unternehmen selbst diese Sicherheitslücke als kritisch ein. Angreifer könnten aus der Ferne Schadcode auf betroffene Geräte laden. Bitte vergewissern Sie sich, ob Ihre Geräte ggf. mit betroffen sein könnten und nehmen Sie die empfohlenen Aktualisierungen vor.
Path Traversal-Schwachstelle in thttpd:
- CVE-2021-38693 (CVSS score: 5.3)
Eine Path-Traversal-Schwachstelle in thttpd, die QNAP-Geräte mit QTS, QuTS hero, QuTScloud und QVR Pro Appliance betrifft und zur Offenlegung von Informationen führt.
Schwachstelle in Photo Station:
- CVE-2021-44057 (CVSS score: 7.1)
Eine Sicherheitslücke bei der Authentifizierung in QNAP-Geräten mit Photo Station, die zur Kompromittierung des Systems führen kann
Mehrere Schwachstellen in QTS, QuTS hero, and QuTScloud:
- CVE-2021-44051 (CVSS score: 8.8)
Eine Schwachstelle in QNAP-Geräten mit QTS, QuTS hero und QuTScloud, die die Ausführung beliebiger Befehle ermöglicht. - CVE-2021-44052 (CVSS score: 6.5)
Eine unsachgemäße Linkauflösung vor dem Dateizugriff („Link Following“) in QNAP-Geräten mit QTS, QuTS hero und QuTScloud, die es Angreifern ermöglicht, Dateien an beliebigen Speicherorten zu lesen/schreiben. - CVE-2021-44053 (CVSS score: 5.7)
Eine Cross-Site-Scripting (XSS)-Schwachstelle in QNAP-Geräten, auf denen QTS, QuTS hero und QuTScloud laufen, die zu Code-Injection führt. - CVE-2021-44054 (CVSS score: 4.3)
Eine offene Umleitungsschwachstelle in QNAP-Geräten mit QTS, QuTS hero und QuTScloud, die es ermöglicht, Benutzer auf unseriöse Webseiten umzuleiten.
Mehrere Schwachstellen in Video Station:
- CVE-2021-44055 (CVSS score: 5.3)
Eine fehlende Autorisierungsschwachstelle in QNAP-Geräten, auf denen Video Station läuft, die es Angreifern ermöglicht, auf Daten zuzugreifen oder nicht autorisierte Aktionen durchzuführen. - CVE-2021-44056 (CVSS score: 7.1)
Eine unzulässige Authentifizierungsschwachstelle in QNAP-Geräten, auf denen die Video Station läuft, was zu einer Kompromittierung des Systems führen kann.
Die benötigten Updates liegen im Download-Center von QNAP bereit.