Kritische Lücken in Videoüberwachungssoftware QVR von Qnap NAS geschlossen

rednag

Active member
Eben bei Heise gelesen.

Wer sein NAS von Qnap zur Videoüberwachung nutzt, sollte die QVR-Software zeitnah aktualisieren. Die Entwickler haben darin drei Sicherheitslücken geschlossen. Ob es bereits Attacken gibt, ist zurzeit unbekannt.


Zwei Schwachstellen (CVE-2021-34348, CVE-2021-34351) sind mit dem Bedrohungsgrad "kritisch" eingestuft. Den verfügbaren Informationen zufolge könnten Angreifer die Lücken aus der Ferne ausnutzen und im Anschluss eigene Befehle auf Geräte ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Geräte dann vollständig kompromittiert sind. Wie Attacken im Detail ablaufen könnten, ist bislang nicht bekannt. Die dritte Lücke (CVE-2021-34349) ist mit "hoch" eingestuft. Auch hier könnten Angreifer nach erfolgreichen Attacken eigene Befehle ausführen.


Wie aus einer Warnmeldung von Qnap hervorgeht, sind davon einige Geräte betroffen, die sich nicht mehr im Support (EOL) befinden. Dennoch liefern die Entwickler die gegen die geschilderten Attacken abgesicherte QVR-Version 5.1.5 build 20210803 auch für EOL-Geräte aus.

So gefühlt ist QNAP von sowas weit mehr betroffen als Synology.
Gefühlt, nicht belegbar.
 

blurrrr

Well-known member
Najo, kann man sicherlich mal nach den CVEs suchen, da findet sich halt auch schon einiges... Primär wichtig ist eigentlich immer erstmal "remote" oder "local" und vor allem eben auch "authenticated", oder nicht... Remote ohne Authentifizierung ist halt immer direkt sch...ade... 🙃
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
565
Beiträge
8.272
Mitglieder
193
Neuestes Mitglied
cekap
Oben