Network Attached Storage (NAS)

Die Schwachstelle betrifft die Backup-Software HBS 3 (Hybrid Backup Sync), die auf den Netzwerkspeichern (NAS) von QNAP läuft. Es handelt sich um einen Fehler in der Berechtigungsprüfung: Die Software setzt die Zugriffskontrolle nicht korrekt durch, sodass eine eigentlich erforderliche Autorisierung umgangen werden kann. Dadurch kann sich ein Angreifer aus der Ferne unbefugt an einem betroffenen Gerät anmelden, ohne dafür gültige Zugangsdaten zu besitzen. Mit einer solchen Anmeldung erlangt er Zugriff auf das NAS und die darauf gespeicherten Daten. Da Netzwerkspeicher häufig zentral für Datensicherung und Dateiablage genutzt werden und nicht selten aus dem Internet erreichbar sind, ist ein solcher unberechtigter Zugang besonders folgenreich. Betroffen sind ausschließlich Geräte, auf denen HBS 3 eingesetzt wird; ältere Backup-Generationen sind nach Herstellerangaben nicht betroffen.