Wer einen Netzwerkspeicher (NAS) von Qnap besitzt, sollte aufgrund von mehreren Sicherheitslücken die Software auf den aktuellen Stand bringen. Von den Lücken sind aber nicht alle Geräte betroffen. Einige Switch-Modelle des Herstellers sind ebenfalls angreifbar. Eine „kritische“ Schwachstelle (CVE-2021-34344) betrifft nur NAS-Systeme, auf denen die Software QUSBCam2 läuft. Die Lücke kann als Einfallstor für Schadcode dienen. Qnap gibt an, die folgenden Versionen gegen solche Attacken gerüstet zu haben:
- QTS 4.5.4: QUSBCam2 1.1.4 (2021/07/30)
- QTS 4.3.6: QUSBCam2 1.1.4 (2021/07/30)
- QuTS hero h4.5.3: QUSBCam2 1.1.4 (2021/07/30)
Auch die beiden anderen „kritischen“ Schadcode-Lücken (CVE-2021-34345, CVE-2021-34346) betreffen nicht alle NAS-Modelle. Sondern nur die, auf denen NVR Storage Expansion läuft. Die Entwickler geben an, NVR Storage Expansion 1.0.6 (2021/08/03) repariert zu haben. Drei weitere Lücken (CVE-2021-28816 „hoch“, CVE-2021-34343 „hoch“, CVE-2018-19957 „mittel“) bedrohen alle NAS-Modelle. Die gepatchten QTS-Versionen listet Qnap in Warnmeldungen auf. Das Router-Modell QSW-M2116P-2T2S und alle Router mit QuNetSwitch sind über eine Sicherheitslücke (CVE-2021-28813 „hoch“) attackierbar. Sind Attacken erfolgreich, könnten Angreifer sensitive Informationen einsehen. Dagegen sind diese Versionen gerüstet:
- QSW-M2116P-2T2S 1.0.6 build 21071
- QGD-1600P: QuNetSwitch 1.0.6.150
- QGD-1602P: QuNetSwitch 1.0.6.1509
- QGD-3014PT: QuNetSwitch 1.0.6.1519