Kritische Lücken in Videoüberwachungssoftware QVR von Qnap NAS geschlossen

rednag

Well-known member
Eben bei Heise gelesen.

Wer sein NAS von Qnap zur Videoüberwachung nutzt, sollte die QVR-Software zeitnah aktualisieren. Die Entwickler haben darin drei Sicherheitslücken geschlossen. Ob es bereits Attacken gibt, ist zurzeit unbekannt.


Zwei Schwachstellen (CVE-2021-34348, CVE-2021-34351) sind mit dem Bedrohungsgrad "kritisch" eingestuft. Den verfügbaren Informationen zufolge könnten Angreifer die Lücken aus der Ferne ausnutzen und im Anschluss eigene Befehle auf Geräte ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Geräte dann vollständig kompromittiert sind. Wie Attacken im Detail ablaufen könnten, ist bislang nicht bekannt. Die dritte Lücke (CVE-2021-34349) ist mit "hoch" eingestuft. Auch hier könnten Angreifer nach erfolgreichen Attacken eigene Befehle ausführen.


Wie aus einer Warnmeldung von Qnap hervorgeht, sind davon einige Geräte betroffen, die sich nicht mehr im Support (EOL) befinden. Dennoch liefern die Entwickler die gegen die geschilderten Attacken abgesicherte QVR-Version 5.1.5 build 20210803 auch für EOL-Geräte aus.

So gefühlt ist QNAP von sowas weit mehr betroffen als Synology.
Gefühlt, nicht belegbar.
 
Najo, kann man sicherlich mal nach den CVEs suchen, da findet sich halt auch schon einiges... Primär wichtig ist eigentlich immer erstmal "remote" oder "local" und vor allem eben auch "authenticated", oder nicht... Remote ohne Authentifizierung ist halt immer direkt sch...ade... 🙃
 

Letzte Anleitungen

Statistik des Forums

Themen
4.383
Beiträge
45.263
Mitglieder
3.984
Neuestes Mitglied
Blitzkriegbob90
Zurück
Oben