Photo Station

Die Schwachstelle betrifft Photo Station, eine Foto-Verwaltungsanwendung auf den NAS-Speichergeräten von QNAP. Es handelt sich um eine extern kontrollierbare Referenz auf eine Ressource: Ein Angreifer kann von außen beeinflussen, auf welche Datei oder welches Objekt das System zugreift, und so eine Referenz auf Ressourcen lenken, die eigentlich nicht für ihn bestimmt sind. Im Ergebnis lassen sich dadurch Systemdateien verändern – also Dateien, die zum Betrieb des Geräts gehören und nicht durch reguläre Benutzer manipuliert werden sollten. Besonders gefährdet sind NAS-Geräte, deren Photo Station direkt aus dem Internet erreichbar ist, denn dann steht der Angriffsweg ohne weitere Hürde offen. Die Lücke wurde aktiv ausgenutzt: Angreifer setzten sie im Rahmen einer Kampagne mit der Erpressungssoftware Deadbolt ein, um betroffene Geräte zu kompromittieren und die darauf gespeicherten Daten zu verschlüsseln.