Honderdduizenden NAS-systemen van fabrikant QNAP zijn door verschillende kritieke kwetsbaarheden op afstand over te nemen en een aanvaller hoeft niet over inloggegevens te beschikken. Eind vorig jaar kwam QNAP al met beveiligingsupdates en onderzoeker Henry Huang die de in totaal 4 beveiligingslekken ontdekte heeft nu de details openbaar gemaakt.

Via de kwetsbaarheden kan een aanvaller zonder inloggegevens willekeurige code met rootrechten op de NAS-systemen uitvoeren. Dat houdt in dat een aanvaller volledige controle heeft en alle bestanden op het systeem kan benaderen. De beveiligingslekken bevinden zich in QNAP Photo Station en CGI-programma's die op de NAS draaien. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die allemaal een 9,8 beoordeeld.

De enige voorwaarde voor het uitvoeren van de aanval is dat het NAS-systeem via internet toegankelijk is en QNAP Photo Station staat ingeschakeld. Photo Station wordt door QNAP omschreven als een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. Eigenaren van een QNAP NAS krijgen het advies om de laatste firmware-update te installeren.

Alles bij de bron; Security