QTS

Die Schwachstelle betrifft QTS, das Betriebssystem der Netzwerkspeicher-Geräte (NAS) von QNAP. Ihre Ursache ist eine unzureichende Prüfung von Eingaben: Das System nimmt von außen übergebene Daten entgegen, ohne sie ausreichend zu validieren. Dadurch kann ein Angreifer aus der Ferne präparierte Eingaben einschleusen, die nicht als reine Daten behandelt, sondern vom System als auszuführende Anweisungen interpretiert werden. Im Ergebnis lässt sich auf diesem Weg fremder Code in das System einbringen und dort ausführen. Der Angriff erfolgt über das Netzwerk, sodass das Gerät besonders gefährdet ist, wenn es aus dem Internet oder einem nicht vertrauenswürdigen Netz erreichbar ist. Da NAS-Geräte typischerweise zentral gespeicherte Dateien und Backups vorhalten, betrifft eine erfolgreiche Ausnutzung nicht nur das Gerät selbst, sondern auch die darauf abgelegten Daten. Betroffen sind QNAP-NAS-Systeme, auf denen das Betriebssystem QTS läuft.