Network Attached Storage (NAS)

Die Schwachstelle betrifft die Komponente File Station auf den Network-Attached-Storage-Geräten (NAS) von QNAP – also den Webdienst, über den Nutzer ihre auf dem Gerät gespeicherten Dateien verwalten und teilen. Es handelt sich um eine Befehlsinjektion: Über eine unzureichend abgesicherte Eingabe lassen sich eigene Systembefehle in die Verarbeitung einschleusen, die das Gerät anschließend ausführt. Ausnutzen lässt sich der Fehler aus der Ferne über das Netzwerk. Gelingt der Angriff, kann ein entfernter Angreifer beliebige Befehle auf dem NAS ausführen und damit die Kontrolle über das Speichergerät und die darauf abgelegten Daten erlangen. Da NAS-Systeme häufig für den Zugriff aus dem Internet freigegeben werden und zentral die Dateien einer ganzen Umgebung vorhalten, ist die File-Station-Funktion ein besonders exponierter und attraktiver Angriffspunkt. Betroffen sind QNAP-NAS-Geräte mit der Betriebssystemsoftware QTS.