Microsoft, ASP.NET Core’da saldırganların temel güvenlik önlemlerini atlatmasına olanak verebilecek kritik bir güvenlik açığını açıkladı.
24 Ekim 2025’te CVE-2025-55315 kapsamında açıklanan bu kusur, HTTP İstek Kaçakçılığından (CWE-444) kaynaklanmaktadır ve eski .NET bileşenlerine dayanan sistemler için risk oluşturmaktadır.
Ağa bağlı depolama çözümlerinin lider sağlayıcısı QNAP, potansiyel istismarları azaltmak için acil güncelleme ihtiyacını vurgulayan acil bir kılavuz yayınladı.
Güvenlik açığı, web uygulamaları için temel bir çerçeve olan ASP.NET Core’u etkileyerek kimliği doğrulanmış saldırganların kötü amaçlı HTTP istekleri oluşturmasına olanak tanır.
Başarılı bir şekilde kullanılması, hassas verilere yetkisiz erişime, sunucu dosyasında değişikliklere ve hatta sınırlı hizmet reddi kesintilerine yol açabilir.
Önem derecesi Microsoft tarafından “Önemli” olarak derecelendirilmiş olsa da, bunun etkileri QNAP ekosistemini, özellikle de kurulum sırasında bu .NET bileşenlerini entegre eden NetBak PC Agent yazılımını kapsamaktadır.
Teknik Detaylar ve Etkilenen Sistemler
Windows PC’lerden QNAP NAS cihazlarına kesintisiz yedeklemeler için tasarlanan NetBak PC Agent, Microsoft ASP.NET Core çalışma zamanlarını otomatik olarak yükler.
Kullanıcılar en son yamaları uygulamadıysa sistemleri açıkta kalır. Kusur, HTTP istek ayrıştırmasındaki belirsizliklerden yararlanarak saldırganların kimlik doğrulama ve yetkilendirme kontrollerini atlayan kaçakçılık yüklerini eklemesine olanak tanıyor.
QNAP’ın araştırması devam ediyor ancak şirket, NetBak PC Agent’ın Windows sistemlerindeki yamasız kurulumlarının risk altında olduğunu doğruladı.
Buna, 8.0.21’in altındaki ASP.NET Core sürümlerinin güvenlik açığını barındırdığı en son güncellemelerden önceki sürümler de dahildir.
Saldırganların kimlik doğrulamalı erişime ihtiyacı vardır, bu da içerideki kişilerin veya kimlik bilgilerinin ele geçirilmesinin önündeki engeli azaltır, ancak veri sızıntısı veya kurcalama potansiyeli bu durumun aciliyetini vurgulamaktadır.
| CVE Kimliği | Etkilenen Ürün | CVSS Puanı | Tanım | Darbe |
|---|---|---|---|---|
| CVE-2025-55315 | NetBak PC Agent (ASP.NET Core aracılığıyla) | 7,5 (Önemli) | ASP.NET Core’da HTTP İstek Kaçakçılığı, güvenlik kontrollerinin atlanmasına olanak tanıyor | Yetkisiz veri erişimi, dosya değişikliği, sınırlı DoS |
Microsoft’un yaması, çerçevenin istek işlemesindeki ayrıştırma sorununu giderir, ancak QNAP kullanıcılarının uyumluluğu sağlamak için harekete geçmesi gerekir.
Azaltma Adımları
QNAP, tüm kullanıcıları sistemlerini derhal doğrulamaya ve güncellemeye teşvik eder. En basit yaklaşım, NetBak PC Agent’ın yeniden yüklenmesini içerir: Windows Ayarları > Uygulamalar > Yüklü Uygulamalar aracılığıyla geçerli sürümü kaldırın, ardından en son yükleyiciyi QNAP’in resmi sitesinden indirin.
Bu işlem, güncellenmiş ASP.NET Core 8.0.21 çalışma zamanını otomatik olarak getirir ve yükler.
Manuel müdahaleyi tercih edenler dotnet.microsoft.com/en-us/download/dotnet/8.0 adresine gidin ve en son ASP.NET Core Runtime Hosting Bundle’ı yükleyin.
Değişiklikleri uygulamak için uygulamayı veya sistemi daha sonra yeniden başlatın. QNAP ayrıca olağandışı ağ etkinliklerinin izlenmesini ve NAS cihazlarında çok faktörlü kimlik doğrulamanın etkinleştirilmesini önerir.
Siber güvenlik tehditleri geliştikçe bu olay, yazılım tedarik zincirlerindeki birbirine bağlı riskleri vurguluyor. Kuruluşlar, bu tür bypass güvenlik açıklarına karşı koruma sağlamak için düzenli yama uygulamasına öncelik vermelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
