Am 13. Februar 2024 veröffentlichte der Hersteller QNAP ein Advisory zu mehreren Schwachstellen in den Betriebssystemen QTS, QuTS hero und QuTScloud. Diese kommen in zahlreichen Network Attached Storage (NAS)-Lösungen des Herstellers zum Einsatz. Den Hinweisen des Unternehmens zufolge könnte es Angreifenden gelingen, aus der Ferne ohne Authentifizierung Befehle auf QNAP-Geräten auszuführen.

Ausschlaggebend hierfür ist zum einen die Schwachstelle CVE-2023-50358, zum anderen die Sicherheitslücke CVE-2023-47218. Beide Verwundbarkeiten wurden nach dem Common Vulnerability Scoring System (CVSS) zwar nur mit einer mittleren Kritikalität (5.8) bewertet, die äußerst hohe Anzahl an über das Internet erreichbaren Geräten - sowohl in Deutschland als auch im Allgemeinen - könnte jedoch zu großen Schäden führen.

Zusätzlich begünstigt wird diese Bedrohung aufgrund der Tatsache, dass die IT-Sicherheitsforschenden von Unit42 nun Proof of Concept (PoC)-Hinweise zu den Schwachstellen herausgegeben haben. Die Veröffentlichung erfolgte, nachdem die Sicherheitsforschenden seit November 2023 mit QNAP bezüglich des o.g. Sachverhalts im vertraulichen Austausch waren. Grund dafür waren Beobachtungen von Unit42, die das Team im Rahmen eines IT-Sicherheitsvorfalls gemacht hatte.