QNAP Network-Attached Storage (NAS)

Die Schwachstelle betrifft die Betriebssysteme QTS und QuTS hero, die auf den netzgebundenen Speichergeräten (NAS) von QNAP laufen. Es handelt sich um eine Befehlsinjektion: Über eine fehlerhaft abgesicherte Funktion kann ein Angreifer eigene Systembefehle einschleusen, die das Gerät anschließend ausführt. Auf diese Weise lässt sich beliebiger Code aus der Ferne auf dem NAS ausführen, sodass der Angreifer Kontrolle über das Speichersystem erlangt. Betroffen sind die NAS-Geräte von QNAP, die typischerweise zur zentralen Ablage und Sicherung von Daten in Heim- und Unternehmensnetzen dienen und häufig dauerhaft erreichbar sind. Da auf solchen Systemen oft umfangreiche und sensible Datenbestände liegen, kann eine erfolgreiche Ausnutzung weitreichende Folgen haben – von der Manipulation und dem Abgreifen gespeicherter Daten bis hin zur vollständigen Übernahme des Geräts als Ausgangspunkt für weitere Angriffe im Netzwerk.