Microsoft ASP.NET Core’daki kritik bir kusur nedeniyle QNAP’ın NetBak PC Agent yazılımını etkileyen önemli bir güvenlik açığı ortaya çıktı.
CVE-2025-55315 olarak izlenen güvenlik açığı, temel güvenlik kontrollerini atlamak için HTTP İstek Kaçakçılığı tekniklerinden yararlanıyor ve yedeklemeye bağımlı binlerce sistemi yetkisiz erişime ve veri manipülasyonuna maruz bırakabilir.
| Bağlanmak | Detaylar |
| CVE Kimliği | CVE-2025-55315 |
| Güvenlik Açığı Türü | HTTP İstek Kaçakçılığı (CWE-444) |
| Etkilenen Bileşen | Microsoft ASP.NET Çekirdeği |
| CVSS Puanı | 8.1 (yüksek) |
Kusur, ASP.NET Core’un HTTP istek işleme mekanizmalarında bulunuyor ve kimliği doğrulanmış saldırganların, web sunucusunun güvenlik işlemlerini karıştıran özel olarak tasarlanmış istekler oluşturmasına olanak tanıyor.
Saldırganlar bu güvenlik açığından yararlanıldıktan sonra, etkilenen sistemlerde depolanan hassas verilere erişme, kritik sunucu dosyalarını değiştirme veya yedekleme işlemlerini kesintiye uğratan sınırlı hizmet reddi koşullarını tetikleme yeteneği kazanır.
Veri koruması için NetBak PC Agent’a güvenen kuruluşlar için bu, yedekleme bütünlüğü ve sistem güvenliğine yönelik doğrudan bir tehdit anlamına gelir.
Güvenlik Açığına Genel Bakış
NetBak PC Agent, kurulum ve çalışma zamanı işlemi sırasında Microsoft ASP.NET Core’a bağlıdır. Bu yedekleme çözümünü çalıştıran herhangi bir Windows sistemi, önceden yama yapılmadığı sürece büyük olasılıkla güvenlik açığı bulunan ASP.NET Core bileşenlerini içermektedir.
HTTP İstek Kaçakçılığı tekniği, farklı sistem bileşenlerinin HTTP mesajlarını yorumlama biçimindeki tutarsızlıklardan yararlanarak saldırganların silah haline getirebileceği bir boşluk yaratır.
Bu tür güvenlik açığı, tarihsel olarak kurumsal altyapıyı ve hassas veri havuzlarını hedef alan karmaşık saldırılarda kullanılmıştır.
CVE-2025-55315 güvenlik açığı kimlik doğrulama gerektiriyor; bu da saldırganların belirli düzeyde sistem erişimine veya kimlik bilgilerine sahip olması gerektiği anlamına geliyor.
Ancak içeriden gelen tehditler ve ele geçirilen hesaplar birçok kuruluşta gerçekçi saldırı senaryoları sunmaktadır. Kimliği doğrulanmış bir saldırgan tutunabildiğinde, güvenlik açığı yanal hareket ve ayrıcalık artışı için güçlü bir araç haline gelir.
QNAP, tüm NetBak PC Agent kullanıcılarının ASP.NET Core çalışma zamanlarını hemen güncellemeleri için acil öneriler yayınladı.
Kuruluş, yedekleme altyapısının kötüye kullanıma karşı korunması için Windows sistemlerinin en son Microsoft ASP.NET Core güncellemelerini içermesini sağlamanın önemli olduğunu vurguluyor.
Kullanıcılar bu güvenlik açığını iki temel yöntemle giderebilir. İlk yaklaşım NetBak PC Agent’ın tamamen yeniden kurulmasını içerir.
Kullanıcılar Ayarlar’a gitmeli, yüklü uygulamalarda uygulamayı bulmalı ve uygulamayı tamamen kaldırmalıdır.
QNAP’ın resmi yardımcı programlar sayfasından en son sürümü indirdikten sonra, yazılımın yeniden yüklenmesi, geçerli ASP.NET Core çalışma zamanı bileşenlerini gerekli güvenlik düzeltme eklerinin uygulandığı şekilde otomatik olarak dağıtır.
Yeniden yüklemeyi tercih etmeyen kullanıcılar için manuel ASP.NET Core güncellemeleri alternatif bir çözüm sağlar. Bu yöntem, Microsoft’un resmi .NET 8.0 indirme sayfasından en son ASP.NET Core Runtime Hosting Bundle’ın indirilmesini gerektirir.
Ekim 2025 itibarıyla güncel sürüm 8.0.21’dir. Kurulumdan sonra sistem yöneticileri, güncellenen bileşenlerin doğru şekilde başlatıldığından emin olmak için uygulamalarını veya sistemlerini yeniden başlatmalıdır.
Güvenlik uzmanları, güncellemeleri tüm kuruluşa dağıtmadan önce kontrollü ortamlarda test etmenizi önerir.
Kuruluşlar ayrıca, NetBak PC Agent’ın konuşlandırılan tüm örneklerinin, altyapılarında tutarsız güvenlik duruşlarını önlemek için gerekli güncellemeleri aldığını doğrulamalıdır.
CVE-2025-55315’in keşfi, özellikle kritik yedekleme işlemlerini yürütenler olmak üzere tüm yazılım bağımlılıklarında mevcut yama seviyelerinin korunmasının öneminin altını çiziyor.
Düzenli güvenlik açığı taraması ve otomatik yama yönetimi sistemleri, kuruluşların benzer riskleri saldırganlardan önce tespit etmesine yardımcı olabilir.
Henüz güncelleme yapmamış olan kullanıcıların, güvenlik açığının yedekleme sistemleri ve veri güvenliği üzerindeki potansiyel etkisi göz önüne alındığında, bu yamaya hemen öncelik vermesi gerekmektedir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.