Schwachstelle QNAP NAS (File Station 5)

[blurrrr]

Mahlzeit!

Falls jemand die App nutzt: https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-1907. Da ich selbst kein QNAP im Einsatz habe, kann ich die Version der App auch nicht einschätzen (total veraltet, oder ggf. doch relativ neu), das überlass ich dann den QNAP-Usern

 

[Digedag64]

Auf meinem TVS-672XT mit Firmware QTS 5.2.6.3195 build 20250715 - also der aktuell(st)en! - lautet die Versionsnummer der File Station tatsächlich exakt wie im Advisory.

Zitat: "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in QNAP NAS File Station 5 ausnutzen, um einen Denial of Service Angriff durchzuführen oder beliebigen Code auszuführen."

Da mein NAS (und auch sonst keins meiner Geräte im Netz) nicht nach außen offen ist und meines Wissen auch nicht von außerhalb erreichbar ist, sind meine Sorgen eher mäßig.

 

[Becker2020]

Die aktuelle Version 5.5.6.4933 ist doch nicht betroffen sondern nur die älteren Versionen.

Anmerkung:
Es gibt ja auch die neue Version 6.0.1.6963 (Beta).
Läuft ohne Probleme.

 

[Digedag64]

Die aktuelle Version 5.5.6.4933 ist doch nicht betroffen

Danke auch dir. Hab nun nochmal nachgelesen und diesmal tatsächlich auch kleine < gesehen (also Version kleiner als 5.5.6.4933), das war mir vorhin entgangen.
Um so besser, dann bin ich ja quasi doppelt sicher ;-)

 

[Becker2020]

Da sind noch mehr Apps und auch QTS/QuTS hero (kleiner Version 5.2.5.xx) betroffen.

https://www.qnap.com/en/security-advisories

 

[blurrrr]

Naja... ist da nicht immer irgendwas? Frage ist halt immer, ob a) etwas direkt von aussen erreichbar ist und b) ob dabei ein "remote"+"nicht authentifiziert" steht (QNAP scheint sich da anscheinend einfach auf "remote attackers" zu beschränken). Bei so einem File-Station-Ding könnte ich mir halt schon vorstellen, dass jemand sowas nach aussen frei gibt, um Dinge mit Freunden/Verwandten zu teilen.

 

[Mavalok2]

Genau das dürfte das Problem sein, da ja auch noch Benutzerzugangsdaten erforderlich sind.

QNAP.com

If a remote attacker gains access to a user account,

Dies führt aber immer wieder zu einem: NAS stellt man nicht offen ins Internet, zumindest nicht einfach so.
Und in erweitertem Sinne: Niemals Zugangsdaten doppelt verwenden. Also immer für alles unterschiedliche Benutzernamen und Passworte, was ja immer alle User machen.