QNAP-Updates: 14 Sicherheitslücken geschlossen, vollständige Übernahme möglich
22.06.2026 - 17:55:15 | boerse-global.de
Der taiwanische Speicherspezialist QNAP hat Updates für seine Betriebssysteme veröffentlicht, die insgesamt 14 Sicherheitslücken schließen. Angreifer könnten darüber vollständige Kontrolle über die Geräte erlangen.
Die Schwachstellen betreffen die weit verbreiteten NAS-Betriebssysteme QTS, QuTS hero, QuTS cloud sowie das Überwachungssystem QVR Pro (QVP). Besonders brisant: Mehrere der entdeckten Lücken erlauben das Einschleusen und Ausführen von Befehlen mit Systemrechten.
Kritische Kommando-Injektionen geschlossen
Anzeige: Ihr QNAP-NAS hat 14 offene Sicherheitslücken – darunter kritische Command-Injection-Schwachstellen, die eine vollständige Geräteübernahme ermöglichen. Die aktualisierten Versionen QTS 5.2.10, QuTS hero h5.2.9, QuTS cloud c5.2.9 und QVP 2.8.0 schließen die Lücken. Sicherheits-Checkliste mit Update-Anleitung anfordern
Im Zentrum des Sicherheitsupdates stehen drei als kritisch eingestufte Command-Injection-Schwachstellen (CVE-2025-66273, CVE-2025-66279, CVE-2026-22893). Sie ermöglichen authentifizierten Administratoren die Ausführung beliebiger Systembefehle – im schlimmsten Fall eine vollständige Übernahme des Geräts.
Hinzu kommt eine URL-Injection in der Passwort-Reset-Funktion (CVE-2025-59382). Weitere behobene Probleme betreffen Speicherfehler wie Stack- und Buffer-Overflows (CVE-2025-62858, CVE-2025-68405, CVE-2026-26239 bis CVE-2026-26241), die Systemabstürze oder die Ausführung von Schadcode ermöglichen.
Die Schwachstellen wurden bereits Anfang April 2026 bekannt. Betroffen waren folgende Versionen:
- QTS 5.2.7
- QuTS hero h5.2.8
- QuTS cloud c5.2.8
- QVP 2.7.1
Die bereinigten Versionen heißen QTS 5.2.10 (sowie 5.2.9.3499), QuTS hero h5.2.9, QuTS cloud c5.2.9 und QVP 2.8.0. Sicherheitsexperten stufen die Bedrohung als bedeutend ein und raten zur sofortigen Installation.
DoS-Lücken und Authentifizierungsumgehungen
Neben den Kommando-Injektionen schließen die Updates eine Schwachstelle in der Zugriffskontrolle (CVE-2026-24724) sowie mehrere Denial-of-Service-Lücken. CVE-2026-24720 betrifft eine Ressourcen-Überlastung, während CVE-2026-22899 und CVE-2025-66281 auf sogenannte NULL-Pointer-Dereferenzierungen abzielen.
Besonders gefährlich: CVE-2025-66281 ist ein Pre-Authentication-Fehler – er kann ohne gültige Anmeldedaten ausgelöst werden.
Botnetz-Bedrohung für ältere Hardware
Anzeige: Das Botnetz AryStinger infiziert gezielt ältere QNAP-Geräte – noch bevor Sie patchen können. Mit der kostenlosen Checkliste sehen Sie in 2 Minuten, ob Ihr NAS betroffen ist, und erhalten die Schritt-für-Schritt-Update-Anleitung. Jetzt Checkliste per E-Mail sichern
Die Veröffentlichung der Patches fällt mit Berichten über ein neues Botnetz namens AryStinger zusammen. Es hat bereits tausende ältere Router und NAS-Geräte infiziert. Zwar richtet sich das aktuelle QNAP-Update gegen moderne Systeme, doch Sicherheitsforscher warnen: AryStinger zielt gezielt auf ältere QNAP-Hardware ab – unter Ausnutzung von CVE-2025-11837 sowie Schwachstellen aus den Jahren 2013 und 2016.
Das Botnetz ist vor allem in Ost- und Südostasien aktiv, mit einem Schwerpunkt in Südkorea und China. Es verwandelt kompromittierte Geräte in sogenannte "Executors" für Aufklärungsaufgaben wie Port-Scans, Dienstidentifikation und Traffic-Tunneling.
Die Entwicklung zeigt: Auch wenn Hersteller regelmäßig neue Lücken in aktuellen Produktlinien schließen, bleibt die Aktualisierung der Firmware auf älteren Geräten eine Daueraufgabe – und oft die letzte Verteidigungslinie.
