Birden fazla QNAP kusuru, uzak saldırganların kullanıcı hesaplarını ele geçirmesine izin verir

QNAP, qsync Central’ın saldırganların hassas verilere erişmesine veya kötü amaçlı kodlar yürütmesine izin verebilecek iki kritik güvenlik açığı hakkında bir güvenlik danışma uyarısı kullanıcıları yayınladı.

Etkilenen yazılım, QNAP NAS cihazları ve bağlı istemciler arasındaki dosyaları senkronize etmek için yaygın olarak kullanılır.

Aşağıda güvenlik açıklarının, teknik detaylarının ve eyleme geçirilebilir azaltma adımlarının kapsamlı bir analizi bulunmaktadır.

– Reklamcılık –

Güvenlik açıklarına teknik bakış

QNAP’ın dosya senkronizasyon ekosisteminin temel bir bileşeni olan QSYNC Central’da iki ana güvenlik açığı tanımlanmıştır:

• CVE-2025-22482: Harici olarak kontrol edilen format dizesinin kullanımı
  • Tip: Biçim Dize Güvenlik Açığı
  • Darbe: İstismarsa, bu güvenlik açığı, kullanıcı erişimi kazanan bir uzak saldırganın gizli veri elde etmesini veya belleği değiştirmek için izin verir.
  • Teknik Ayrıntılar: Kusur, kullanıcı tarafından sağlanan giriş, işlevlerde bir format dizesi olarak kullanıldığında ortaya çıkar. printf– sprintfveya benzeri. Saldırganlar bellek içeriğini manipüle edebilir, potansiyel olarak bilgi açıklamasına veya keyfi kod yürütülmesine yol açabilir.
• CVE-2025-29892: SQL enjeksiyonu
  • Tip: SQL Enjeksiyon Güvenlik Açığı
  • Darbe: Kullanıcı erişimi olan uzak saldırganlar, yetkisiz SQL komutlarını yürütmek için bunu kullanabilir, bu da potansiyel olarak keyfi kod yürütme veya komut enjeksiyonu ile sonuçlanır.
  • Teknik Ayrıntılar: Güvenlik açığı, SQL sorgularında kullanılmadan önce kullanıcı girişi yanlış sterilize edildiğinde meydana gelir ve saldırganların kötü niyetli SQL ifadeleri enjekte etmesine izin verir.

Her iki güvenlik açığı da saldırganın sisteme zaten kullanıcı düzeyinde erişim elde etmesini gerektirir.

Bununla birlikte, içeri girdikten sonra, etki şiddetlidir, bu da hızlı yamayı gerekli hale getirir.

Risk Değerlendirmesi ve CVSS puanlama

Kuruluşların iyileştirmeye öncelik vermelerine yardımcı olmak için, Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) her bir güvenlik açığına sayısal bir puan atar.

İki QSYNC merkezi güvenlik açığı şöyle toplandı:

Azaltma ve iyileştirme adımları

QNAP, QSYNC Central 4.5.0.6’da (20 Mart 2025) ve daha sonra bu güvenlik açıklarını zaten ele almıştır.

Tüm kullanıcıların sistemlerini korumak için hemen güncellemeleri tavsiye edilir.

QSYNC Central nasıl güncellenir:

1. Yönetici olarak QTS veya Quts Hero’da oturum açın.
2. Uygulama merkezini açın.
3. Arama kutusuna “QSYNC Central” yazın ve Enter tuşuna basın.
4. Güncelle’yi tıklayın.
   • Not: QSYNC Central’ınız zaten güncelse güncelleme düğmesi kullanılamaz.
5. Güncellemeyi onaylamak için Tamam’ı tıklayın.
   • Sistem uygulamayı otomatik olarak günceller.

Ek Öneriler:

• Yetkisiz Erişim için Monitör: Şüpheli etkinlik için kullanıcı erişim günlüklerini düzenli olarak inceleyin ve izleyin.
• En az ayrıcalık uygulayın: Kullanıcıların yalnızca rolleri için gerekli izinlere sahip olduğundan emin olun.
• Kritik Verileri Yedekleme: Potansiyel olaylardan kurtulmak için güncel yedeklemeleri koruyun.

Sonuç ve Teşekkürler

Bu güvenlik açıklarının keşfi ve iyileştirilmesi, yaygın olarak kullanılan dosya senkronizasyon çözümlerinde devam eden riskleri vurgulamaktadır.

QNAP, sorunları yamalamak için hızlı bir şekilde hareket etti, ancak kullanıcılar riski azaltmak için güncellemeleri derhal uygulamalıdır.

Teşekkür:

• CVE-2025-22482: Searat ve Izut
• CVE-2025-29892: mercan

Revizyon Geçmişi:
V1.0 (07 Haziran 2025) – yayınlandı

Ekler:

• CVE-2025-22482.json
• CVE-2025-29892.JSON

QSYNC Central’a güvenen kuruluşlar, bu güvenlik açıklarını yüksek öncelik olarak ele almalı ve tüm örneklerin 4.5.0.6 veya daha sonraki sürüm olarak güncellenmesini sağlamalıdır.

Yama yapılmaması önemli veri kaybı, yetkisiz erişim ve potansiyel düzenleyici cezalarla sonuçlanabilir.

Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun