QNAP’ın NetBak PC Agent’ında, Microsoft’un ASP.NET Core çerçevesindeki bir kusurdan kaynaklanan, CVE-2025-55315 olarak takip edilen kritik bir güvenlik açığı belirlendi. Bu sorun, saldırganların temel güvenlik kontrollerini aşmak için HTTP İstek Kaçakçılığı (CWE-444) tekniklerinden yararlanmasına ve hassas yedekleme verilerine ve sistem dosyalarına yetkisiz erişim sağlama potansiyeline sahip olmasına olanak tanıyor.
24 Ekim 2025’te yayınlanan resmi güvenlik danışma belgesine (Güvenlik Kimliği: QSA-25-44) göre QNAP, NetBak PC Agent’ı çalıştıran sistemlerin, yazılımın savunmasız ASP.NET Core çalışma zamanı bileşenlerini yüklemesi ve bunlara dayanması nedeniyle risk altında olduğunu doğruladı.
Bu kusur, QNAP kullanıcıları için ciddiyet açısından “Önemli” olarak derecelendirilirken, harici güvenlik araştırmacıları temeldeki güvenlik açığını 9,9’a kadar CVSS puanıyla kritik olarak sınıflandırdı.
CVE-2025-55315 NetBak PC Agent’ı Nasıl Etkiler?
Güvenlik açığı, ASP.NET Core’un HTTP isteklerini işleme biçiminden kaynaklanmaktadır. Kimliği doğrulanmış bir saldırgan, özel olarak oluşturulmuş istekler hazırlayarak, web sunucusunun gelen mesajları yorumlama biçimindeki tutarsızlıklardan yararlanabilir. Başarılı bir şekilde kullanılması, güvenlik korumalarının atlanmasına, gizli yedekleme verilerine erişilmesine, sunucu dosyalarının değiştirilmesine ve hatta sınırlı hizmet reddi koşullarına neden olabilir.
NetBak PC Agent, hem kurulum hem de çalışma zamanı sırasında ASP.NET Core’a bağlı olduğundan, yazılımın yanında yüklenen çerçevenin yama yapılmamış herhangi bir sürümü, sistemleri açıkta bırakır. Eski ASP.NET Core bileşenlerini çalıştıran yedekleme sunucuları özellikle savunmasızdır ve yedekleme bütünlüğünü ve veri kullanılabilirliğini riske atar.
QNAP, güvenlik açığının kimlik doğrulaması gerektirdiğini, yani saldırganların zaten geçerli kimlik bilgilerine veya erişime sahip olması gerektiğini vurguladı. Ancak şirket içi tehditler veya kurumsal ağlardaki ele geçirilen hesaplar gerçekçi ve tehlikeli saldırı vektörleri olmaya devam ediyor. Kötü niyetli bir kişi içeri girdikten sonra CVE-2025-55315’ten yararlanarak ayrıcalıkları artırabilir veya ağ üzerinde yatay olarak hareket edebilir.
QNAP’ın Önerileri ve Yama Kılavuzu
QNAP, NetBak PC Agent’taki güvenlik açığını gidermek için iki ana yöntem yayınladı:
NetBak PC Agent’ı yeniden yükleyin
- Ayarlar → Uygulamalar → Yüklü uygulamalar’a gidin ve NetBak PC Agent’ın geçerli sürümünü kaldırın.
- En son sürümü QNAP’ın resmi web sitesinden indirin.
- Aracıyı yeniden yüklemek en son ASP.NET Core’u otomatik olarak yükler çalışma zamanı bileşenleri.
ASP.NET Core’u El İle Güncelleyin
- Microsoft’un resmi .NET 8.0 indirme sayfasını ziyaret edin.
- Ekim 2025 itibarıyla en son ASP.NET Core Runtime (Barındırma Paketi) — sürüm 8.0.21’i indirip yükleyin.
- Güncelleştirmelerin doğru şekilde uygulandığından emin olmak için etkilenen uygulamaları veya sistemi yeniden başlatın.
QNAP ayrıca yöneticilere, kuruluş çapında dağıtımdan önce yamaları kontrollü ortamlarda test etmelerini tavsiye eder. Tüm sistemlerin çalışmasının sağlanması NetBak PC’nin düzenli olarak güncellenmesi, kurumsal ağlarda tutarsız güvenlik yapılandırmalarının önlenmesine yardımcı olur.
CVE-2025-55315’ten dersler
CVE-2025-55315’in keşfi, ASP.NET Core gibi temel çerçevelerdeki güvenlik açıklarının birden fazla bağımlı uygulamayı etkileyecek şekilde dışarıya doğru yayılabileceği şeklindeki kalıcı siber güvenlik gerçeğini vurgulamaktadır. Bu durumda NetBak PC Agent’ın bu bileşenlere olan güveni, yedekleme altyapısının güvenliğini doğrudan Microsoft’un güncelleme temposuna bağlar.
Verileri korumak için NetBak PC’ye güvenen kuruluşlar, riski azaltmak için derhal harekete geçmelidir. Yama uygulamanın ötesinde, düzenli güvenlik açığı taraması, otomatik yama yönetimi ve periyodik güvenlik denetimleri uygulamak, benzer risklerin önlenmesine yardımcı olabilir.