Für Qnap NAS-Systeme bietet der Hersteller Erweiterungen in Form von Zusatzsoftware an. In einigen Zusatzpaketen haben Sicherheitslücken die Integrität der Netzwerk-Speichersysteme mit teils hohem Risiko gefährdet. Der Hersteller stellt jetzt Aktualisierungen bereit, die die Sicherheitslecks abdichten. Aufgrund einer Schwachstelle in der Zusatzsoftware Surveillance Station könnten Angreifer beliebigen Code auf Qnap NAS einschleusen und ausführen. Ein Stack-basierter Pufferüberlauf könne in der Software auftreten. Neue Versionen von Surveillance Station schließen die Lücke, sie sind ab 5.2.0.4.2, 5.2.0.3.2, 5.1.5.4.6sowie 5.1.5.3.6 nicht mehr enthalten (CVE-2021-38687, Risiko hoch). Eine weitere Schwachstelle hat das Unternehmen in der Qnap-NAS-Software Kazoo Server mit Version 4.11.20 geschlossen. War der UPnP-Medien-Server Kazoo Server aktiv, hätten Angreifer bösartigen Code via Cross-Site-Scripting einschleusen können (CVE-2021-38680, mittel). Zudem gab es eine Aktualisierung für die Android-App Qfile zum Browsen des NAS via Smartphone. In Version 3.0.0.1105 der App ist es Angreifern nicht mehr möglich, diese aufgrund einer unsachgemäßen Authentifizierung zu komprimittieren und an sensible Informationen zu gelangen (CVE-2021-38688, mittel). Qnap hat dazu drei Sicherheitsmeldungen herausgegeben:
- QSA-21-46: „Stack Buffer Overflow Vulnerability in Surveillance Station“
- QSA-21-54: „Reflected XSS Vulnerability in Kazoo Server“
- QSA-21-55: „Improper Authentication Vulnerability in Qfile“
Qnap-Administratoren, die diese Software einsetzen, sollten die bereitgestellten Aktualisierungen zeitnah einspielen.