Çeşitli QNAP işletim sistemlerini (CVE-2022-27597 ve CVE-2022-27598) etkileyen iki güvenlik açığı Sternum tarafından ortaya çıkarıldı. Bu güvenlik açıkları, kimliği doğrulanmış uzak kullanıcıların gizli değerlere erişmesini sağlayarak, sahiplerin işletim sistemlerini güncelleyerek hemen harekete geçmesini gerektirir.
CVE-2022-27597 ve CVE-2022-27598’i bulma
Araştırmacılar, güvenlik açıklarını keşfetmeden önce bir QNAP TS-230 NAS cihazında performans testi ve kıyaslama gerçekleştirdi. Beklenmedik bir şekilde, dikkatler sistemden gelen ve cihazda tespit edilen birden çok bellek erişim ihlali hakkında ekibe bilgi veren bir dizi güvenlik uyarısına çevrildi.
Sistemde sinyal verilen uyarılar, cihazın ürün yazılımındaki çeşitli işlevler tarafından birden fazla sınır dışı okuma ve yazma yapıldığını ortaya çıkardı. Bu bellek erişimi ihlalleri, sonuçta, kötü niyetli bir tehdit aktörü tarafından kötüye kullanılması durumunda rastgele kod yürütülmesine yol açabilecek, orijinal kodun kararlılık sorunlarına ve öngörülemeyen davranışına yol açacaktır.
“Ne yazık ki, bu güvenlik açığının hikayesi şaşırtıcı olmaktan çok uzak. Aslında, şimdiye kadar yaptığımız hemen hemen her yeni entegrasyon veya POC aynı sonuçla sonuçlandı – cihaz bağlanır bağlanmaz çalışma zamanında yeni güvenlik açıklarını ortaya çıkardık,” dedi Sternum Güvenlik Araştırması Direktörü Amit Serper.
“Bu, şu anda geliştirme aşamasında gerçekleştirilen güvenlik testlerinin geride bıraktığı boşluklara ve ayrıca – daha da endişe verici bir şekilde – vahşi ortamdaki savunmasız cihazların sayısına işaret ediyor. Dolaşımda olan ve birçoğu sağlık, altyapı, iletişim, ulaşım vb. kritik işlevler için kullanılan on milyarlarca cihazla, henüz tespit edilmemiş benzer güvenlik açıklarının oluşturduğu tehdit hafife alınmamalı,” diye sözlerini tamamladı Serper.
Etkilenen ve güncellenen işletim sistemleri
QNAP güvenlik açıkları işletim sistemlerini etkiler: QTS, QuTS hero, QuTScloud, QVP (QVR Pro cihazları).
Bu işletim sistemi sürümleri zaten güncellendi:
- QTS 5.0.1.2346 yapı 20230322 ve sonrası
- QuTS hero h5.0.1.2348 yapı 20230324 ve sonrası
Ne yapabilirsin?
QNAP, QuTScloud ve QVP’deki güvenlik açıklarını aktif olarak çözmektedir ve müşterilerin, NAS modelleri için mevcut olan en son güncellemeleri görmek için ürün destek durumunu kontrol etmeleri önerilir.
QTS, QuTS hero veya QuTScloud’u güncelleme
1. QTS, QuTS hero veya QuTScloud’da yönetici olarak oturum açın.
2. Denetim Masası > Sistem > Donanım Yazılımı Güncellemesi’nde oturum açın.
3. Canlı Güncelleme altında, Güncellemeyi Kontrol Et’e tıklayın. Sistem mevcut en son güncellemeyi indirir ve kurar.
QVP’yi Güncelleme (QVR Pro Cihazları)
1. QVP’de yönetici olarak oturum açın.
2. Denetim Masası > Sistem Ayarları > Donanım Yazılımı Güncellemesi’ne gidin.
3. Donanım Yazılımı Güncellemesi sekmesini seçin.
4. En son bellenim dosyasını yüklemek için Gözat…’a tıklayın.
5. Sistemi Güncelle’ye tıklayın.