Der Hersteller von Netzwerkspeichern QNAP hat eine dringende Sicherheitswarnung für Nutzer seiner Windows-Backup-Software NetBak PC Agent herausgegeben. Eine als kritisch eingestufte Schwachstelle im ASP.NET Core-Framework von Microsoft, identifiziert als CVE-2025-55315, setzt Systeme, auf denen die Software installiert ist, erheblichen Risiken aus. Angreifer könnten diese Lücke ausnutzen, um Sicherheitskontrollen zu umgehen und auf sensible Daten zuzugreifen.
Das Wichtigste in Kürze
- Eine kritische Sicherheitslücke (CVE-2025-55315) betrifft die QNAP-Software NetBak PC Agent für Windows.
- Die Schwachstelle liegt in einer Komponente von Microsofts ASP.NET Core, die von der Software genutzt wird.
- Angreifer mit geringen Rechten könnten Anmeldedaten stehlen, Sicherheitsmaßnahmen umgehen und Daten manipulieren.
- QNAP empfiehlt allen Nutzern dringend, ihre Systeme zu aktualisieren, um sich zu schützen.
Das Kernproblem: Eine Schwachstelle im Fundament
Die Sicherheitslücke betrifft nicht direkt die von QNAP entwickelte Software, sondern eine grundlegende Komponente, auf der sie aufbaut. Der NetBak PC Agent installiert während des Setups das ASP.NET Core-Framework von Microsoft. Genau hier, im Kestrel-Webserver von ASP.NET Core, wurde die Schwachstelle entdeckt.
Diese als "Security Bypass" klassifizierte Lücke ermöglicht es Angreifern, durch eine Technik namens "HTTP Request Smuggling" die Kommunikation zwischen dem Nutzer und dem Server zu manipulieren. Selbst Angreifer mit nur geringen Systemprivilegien könnten dadurch erhebliche Schäden anrichten.
Was ist HTTP Request Smuggling?
HTTP Request Smuggling ist eine Angriffstechnik, bei der die Art und Weise ausgenutzt wird, wie verschiedene Server in einer Kette (z. B. ein Frontend-Proxy und ein Backend-Server) eine Serie von HTTP-Anfragen verarbeiten. Durch das Senden speziell präparierter Anfragen kann ein Angreifer den Frontend-Server dazu bringen, eine Anfrage anders zu interpretieren als der Backend-Server. Dies kann dazu führen, dass legitime Anfragen von anderen Nutzern manipuliert oder deren Sitzungen übernommen werden.
Welche Gefahren drohen konkret?
Die potenziellen Auswirkungen eines erfolgreichen Angriffs sind vielfältig und gravierend. Laut den Analysen von Sicherheitsexperten könnte ein Angreifer durch Ausnutzung von CVE-2025-55315 mehrere bösartige Aktionen durchführen.
Zu den möglichen Szenarien gehören:
- Übernahme von Benutzerkonten: Angreifer könnten sich als andere Benutzer anmelden und so ihre Rechte im System erweitern (Privilege Escalation).
- Umgehung von Sicherheitsprüfungen: Schutzmechanismen wie Cross-Site Request Forgery (CSRF)-Token, die unautorisierte Aktionen verhindern sollen, könnten umgangen werden.
- Datenzugriff und -manipulation: Unbefugter Zugriff auf sensible Daten, das Verändern von Serverdateien oder das Einschleusen von schädlichem Code sind denkbar.
- Denial-of-Service: In begrenztem Umfang könnten Angreifer auch die Verfügbarkeit des Dienstes stören.
Höchste Warnstufe bei Microsoft
Die Schwachstelle CVE-2025-55315 wurde von Microsoft mit der "höchsten jemals vergebenen" Kritikalitätsstufe für eine Sicherheitslücke in ASP.NET Core bewertet. Dies unterstreicht die Dringlichkeit, betroffene Systeme umgehend abzusichern.
QNAPs dringende Handlungsempfehlung
QNAP hat seine Kunden eindringlich dazu aufgerufen, sofort Maßnahmen zu ergreifen. Da die Schwachstelle in einer Microsoft-Komponente liegt, ist ein Update des Windows-Systems beziehungsweise der installierten .NET-Komponenten entscheidend für die Sicherheit.
Das Unternehmen schlägt zwei konkrete Wege vor, um die Lücke zu schließen:
Option 1: Neuinstallation der QNAP-Software
Die einfachste Methode für viele Nutzer ist die vollständige Deinstallation und anschließende Neuinstallation des NetBak PC Agent. Die neueste Version des Installationsprogramms enthält die bereits gepatchten und sicheren ASP.NET Core-Laufzeitkomponenten. Dadurch wird die veraltete, anfällige Version automatisch ersetzt.
Option 2: Manuelles Update von ASP.NET Core
Technisch versiertere Anwender können das Update auch manuell durchführen. Hierfür muss das neueste "ASP.NET Core Runtime (Hosting Bundle)" direkt von der offiziellen .NET 8.0-Downloadseite von Microsoft heruntergeladen und installiert werden. Dieser Weg stellt sicher, dass alle auf dem System installierten Anwendungen, die diese Komponente nutzen, geschützt sind.
"QNAP empfiehlt den Nutzern dringend, sicherzustellen, dass auf ihren Windows-Systemen die neuesten Microsoft ASP.NET Core-Updates installiert sind", heißt es in der offiziellen Mitteilung des Unternehmens.
Ein wiederkehrendes Thema bei Backup-Lösungen
Dieser Vorfall ist nicht das erste Mal in diesem Jahr, dass QNAP seine Nutzer vor Sicherheitsrisiken in Backup-Software warnen muss. Bereits im Januar veröffentlichte das Unternehmen wichtige Sicherheitsupdates für eine andere Lösung, die HBS 3 Hybrid Backup Sync. Damals wurden sechs Schwachstellen im Synchronisierungsprotokoll rsync behoben.
Diese Lücken hätten es entfernten Angreifern ermöglichen können, Schadcode auf nicht gepatchten NAS-Geräten auszuführen. Die wiederholten Warnungen verdeutlichen, wie wichtig eine proaktive Wartung und regelmäßige Aktualisierung von Software ist, insbesondere wenn es um die Sicherung wertvoller Daten geht. Backup-Systeme sind oft ein attraktives Ziel für Angreifer, da sie zentralen Zugriff auf große Datenmengen bieten können.
Nutzer von QNAP-Produkten und anderer Backup-Software sollten daher die Sicherheitshinweise der Hersteller stets ernst nehmen und empfohlene Updates zeitnah installieren, um ihre digitale Infrastruktur zu schützen.
