Qnap meldt drie kritieke kwetsbaarheden in zijn NAS-systemen. Er is een update beschikbaar die iedereen nu moet installeren.
Het Taiwaneese Qnap meldt dat er drie kwetsbaarheden werden gevonden in het besturingssysteem van de NAS-toestellen. De meest ernstige is CVE-2024-21899 waarmee hackers het authenticatieproces kunnen omzeilen in QTS 5.1. In tandem met de twee andere kwetsbaarheden, CVE-2024-21900 en CVE-2024-21901 kunnen hackers potentieel malafide code injecteren en commando’s uitvoeren op een NAS.
Qnap benadrukt dat het om kritieke lekken gaat en dat updaten heel belangrijk is. Deze besturingssystemen zijn getroffen:
| Getroffen product | Veilige versie |
| QTS 5.1.x | QTS 5.1.3.2578 build 20231110 of nieuwer |
| QTS 4.5.x | QTS 4.5.4.2627 build 20231225 of nieuwer |
| QuTS hero h5.1.x | QuTS hero h5.1.3.2578 build 20231110 of nieuwer |
| QuTS hero h4.5.x | QuTS hero h4.5.4.2626 build 20231225 of nieuwer |
| QuTScloud c5.x | QuTScloud c5.1.5.2651 of nieuwer |
| myQNAPcloud 1.0.x | myQNAPcloud 1.0.52 (2023/11/24) of nieuwer |
Het spreekt voor zich dat elk online toestel regelmatig een update nodig heeft. Bij Qnap specifiek kan je dat in QTS, QuTS hero of QuTScloud eenvoudig doen via de webinterface. Ga naar Configuratiescherm, Systeem en kies Firmware Update. Kies onder Live Update de optie om naar updates te zoeken. Daarna wordt automatisch de meest recente versie geïnstalleerd die veiliger is.
Het is niet de eerste keer dat Qnap kritieke kwetsbaarheden moet bestrijden. Eind vorig jaar moest het nog in allerijl twee kritieke kwetsbaarheden patchen nadat het begin 2023 ook al aan de alarmbel moest trekken met een nieuwe patch voor een kritieke kwetsbaarheid.