In letzter Zeit gab es zwei größere Nachrichten im Bereich der IT-Sicherheit:
CVE-2026-32746
Eine Schwachstelle, die in bestimmten telnetd-Diensten existiert. Ein Angreifer kann während der Initialisierungsphase der Verbindungsoptionen speziell gestaltete Inhalte senden, um einen Buffer Overflow im Speicher des Daemon-Prozesses auszulösen und anschließend beliebige Befehle mit Systemrechten auszuführen.
Bei QNAP-Produkten wie NAS, QVP und TVR ist der Telnet-Dienst standardmäßig deaktiviert. Nach Überprüfung verwenden unsere Systeme ein anderes Terminal-Service-Paket und enthalten nicht den fehlerhaften Funktionscode, der diese Schwachstelle verursacht. Daher ist kein Firmware-Update für diesen Punkt erforderlich.
Der Supply-Chain-Angriff auf das Axios-npm-Paket ist ein Beispiel für eine Software-Lieferkettenattacke.
Böswillige Angreifer haben in den Versionen 1.14.1 und 0.30.4 von Axios eine Hintertür im Code platziert, die Umgebungsvariablen von Node.js stiehlt und wichtige Informationen vom Host an externe Server sendet.
Einige QNAP-Softwareprojekte nutzen Axios als Abhängigkeit. Unser Entwicklungsprozess verwendet jedoch einen Mechanismus zur Fixierung von Paketversionen und eine gesperrte Software-Bill-of-Materials (SBOM). Nach Überprüfung enthalten die aktuell veröffentlichten Softwareversionen keine betroffenen (infizierten) Paketversionen.
Daher sind bestehende QNAP-Produkte von diesen beiden Problemen nicht betroffen, und es sind keine Änderungen an Geräteumgebung oder Netzwerkkonfiguration erforderlich.