QNAP, QTS, QuTS Hero, Netatalk, Video Station, QuMagie ve QcalAgent dahil olmak üzere birden fazla üründeki çeşitli yüksek, orta ve düşük önemdeki güvenlik açıklarını gidermek için çok sayıda güvenlik önerisi yayınladı.
QNAP ayrıca etkilenen tüm ürünleri, bunların sürümlerini ve her bir ürünü güncelleme adımlarını da belirtti. Bu güvenlik açıklarına ilişkin CVE’ler aşağıdaki gibidir:
- CVE-2023-45039 (Düşük – QTS ve QuTS kahramanı)
- CVE-2023-45040 (Düşük – QTS ve QuTS kahramanı)
- CVE-2023-45041 (Düşük – QTS ve QuTS kahramanı)
- CVE-2023-45042 (Düşük – QTS ve QuTS kahramanı)
- CVE-2023-45043 (Düşük – QTS ve QuTS kahramanı)
- CVE-2023-45044 (Düşük – QTS ve QuTS kahramanı)
- CVE-2022-43634 (Yüksek – Netatalk)
- CVE-2023-41287 (Yüksek Video İstasyonu)
- CVE-2023-41288 (Yüksek Video İstasyonu)
- CVE-2023-47219 (Düşük – QuMagie)
- CVE-2023-47559 (Yüksek – QuMagie)
- CVE-2023-47560 (Yüksek – QuMagie)
- CVE-2023-39294 (Orta – QTS ve QuTS kahramanı)
- CVE-2023-39296 (Yüksek – QTS ve QuTS kahramanı)
- CVE-2023-41289 (Orta – QcalAgent)
QTS ve QuTS kahraman güvenlik açıkları
CVE-2023-45039, CVE-2023-45040, CVE-2023-45041, CVE-2023-45042, CVE-2023-45043 ve CVE-2023-45044, yetersiz kontrol nedeniyle arabellek kopyasıyla ilişkilendirildi girişin boyutu.
Bu güvenlik açığından yararlanılması, kimliği doğrulanmış yöneticilerin ağ üzerinden kod yürütmesine olanak verebilir.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
QNAP güvenlik tavsiyesine göre bu güvenlik açıkları kümesinin ciddiyeti düşük olarak belirtildi. Ancak CVE-2023-39294 ve CVE-2023-39296’ya güvenlik önerileri uyarınca orta ve yüksek önem derecesi verildi.
CVE-2023-39294, kimliği doğrulanmış yöneticilerin ağ üzerinden komut yürütmesine olanak tanıyan işletim sistemi komut eklemeyle ilişkilendirildi.
Aynı zamanda, CVE-2023-39296, uzaktaki kullanıcıların mevcut özellikleri uyumsuz türlerle geçersiz kılmasına olanak tanıyarak sistemin çökmesine neden olabilecek prototip kirliliğiyle de ilgiliydi.
QuMagie’deki Güvenlik Açıkları
CVE-2023-47219, kimliği doğrulanmış bir tehdit aktörünün ağ üzerinden kötü amaçlı kod eklemesine olanak tanıyan, SQL enjeksiyonuyla ilişkili düşük önem derecesine sahip bir güvenlik açığıydı. CVE-2023-47559 ve CVE-2023-47560, sırasıyla Siteler arası komut dosyası çalıştırma ve işletim sistemi komut eklemeyle bağlantılı bir dizi yüksek önem dereceli güvenlik açığıydı.
Bu güvenlik açıklarının her ikisi de tehdit aktörünün kimliği doğrulanmış bir kullanıcı olmasını gerektirir. Bu güvenlik açıklarından yararlanılması, kötü amaçlı kod eklenmesine (CVE-2023-47559) veya komutların ağ üzerinden yürütülmesine (CVE-2023-47560) neden olabilir.
Video İstasyonu Güvenlik Açıkları
CVE-2023-41287 ve CVE-2023-41288, QNAP güvenlik danışma belgesinde bildirilen başka bir güvenlik açığı grubuydu. CVE-2023-41287 bir SQL enjeksiyon güvenlik açığıydı ve CVE-2023-41288 bir işletim sistemi komut enjeksiyon güvenlik açığıydı.
Bu güvenlik açıkları QNAP tarafından yüksek önem derecesine sahip olarak işaretlendi. Ancak her iki güvenlik açığı da Video Station 5.7.x sürümünü etkiliyor ve Video Station 5.7.2 ve sonraki sürümlerde düzeltildi.
Netatalk ve QcalAgent
Netatalk güvenlik açığına CVE-2022-43634 kodu verildi ve ciddiyeti yüksek. Ancak QNAP, bu güvenlik açığı veya kategorisi hakkında başka herhangi bir ayrıntı yayınlamadı. Ancak güvenlik danışma belgesine göre bu güvenlik açığı QTS 5.1.x sürümünü etkiliyor ve QTS 5.1.3.2578 derlemesi 20231110 ve sonrasında düzeltildi.
CVE-2023-41289, QcalAgent’ı etkilediği bildirilen başka bir işletim sistemi komut ekleme güvenlik açığıydı. Bu güvenlik açığının güvenlik danışma belgesinde orta önemde olduğu belirtildi ve QcalAgent 1.1.x’i etkilediği belirtildi.
Etkilenen ürünlerin tümü düzeltildi ve yamalar yayınlandı. Bu ürünleri kullanan kuruluşların tehdit aktörlerinin kurbanı olmaması için son sürümlere yükseltmeleri önerilir.