und keiner weiß so recht, was da eigentlich passiert ist
Wochenende bei Qnap. Elf Sicherheitsmitteilungen auf einen Schlag. Irgendwo in Taiwan hat jemand den roten Knopf gedrückt, und nun stehen Updates bereit. Kritische Schwachstellen, heißt es. Manche davon wurden bei der Pwn2Own 2025 in Irland demonstriert – dort, wo sich Hacker treffen, um teure Geräte in Einzelteile zu zerlegen. Diesmal: NAS-Systeme von Qnap.
Das Problem: Details? Fehlanzeige. Selbst die CVE-Einträge sind noch nicht veröffentlicht. Man weiß nur: Es gab drei Zero-Day-Lücken in QTS und QuTS hero (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849). Ein CVSS-Score fehlt. Ein Angriffsvektor auch. Aber Qnap sagt: „kritisch“. Also bitte updaten.
Was konkret gepatcht wurde
Die wichtigsten Fixes:
Pwn2Own-Lücken:
- QTS 5.2.7.3297 Build 20251024 und QuTS hero h5.2.7.3297 sowie h5.3.1.3292 stopfen die drei anonymen Schwachstellen
Weitere kritische Lücken:
- Hyper Data Protector ab 2.2.4.1 behebt CVE-2025-59389
- HBS 3 Hybrid Backup Sync ab 26.2.0.938 schließt CVE-2025-62840 und CVE-2025-62842
- QuMagie 2.7.0 beseitigt SQL-Injection-Lücke CVE-2025-52425, die Remote Code Execution ermöglichte
Dazu kommen acht weitere Schwachstellen in Download Station, File Station 5, Qsync Central, Notification Center und QuLog Center. Qnap stuft diese als „wichtig“ oder „moderat“ ein – was vermutlich bedeutet: nicht ganz so dramatisch, aber trotzdem nicht ignorieren.
Das übliche Spiel
Qnap meldet im September hochriskante Lücken. Die Updates waren da schon länger verfügbar. Jetzt dasselbe Muster: Mitteilungen am Wochenende, Updates schon da, Details kommen später. Vielleicht.
Wer ein Qnap-NAS betreibt, sollte prüfen, ob die Firmware aktuell ist. Nicht morgen. Heute. Die Geräte stehen oft im Netz, und wenn Angreifer wissen, dass da Lücken waren, wird’s interessant. Auch ohne genaue Beschreibung.
Manchmal ist Bürokratie eben doch praktisch – wenn sie dafür sorgt, dass Updates rechtzeitig verteilt werden. Auch wenn keiner so genau weiß, was sie eigentlich flicken.