QNAP, Pwn2Own Ireland 2025’te güvenlik araştırmacıları tarafından başarıyla kullanılmasının ardından ağa bağlı depolama (NAS) işletim sistemlerindeki yedi kritik sıfır gün güvenlik açığını giderdi.
CVE-2025-62847, CVE-2025-62848, CVE-2025-62849 olarak tanımlanan bu kusurlar ve ilgili ZDI kanonik girişleri ZDI-CAN-28353, ZDI-CAN-28435, ZDI-CAN-28436, QTS 5.2.x, QuTS kahramanına karşı uzaktan kod yürütmeyi (RCE) ve ayrıcalık yükseltme saldırılarını etkinleştirir h5.2.x ve QuTS Hero h5.3.x sürümleri.
Kontrollü bir ortamda gösterilen açıklardan yararlanmalar, kimliği doğrulanmamış saldırganların cihaz bütünlüğünü tehlikeye atmasına ve depolanan verilere sızmasına olanak tanıyan çekirdek düzeyindeki zayıflıkları ve web arayüzü kusurlarını vurguluyor.
QNAP Sıfır Gün Güvenlik Açıklarından Yararlandı
20-22 Ekim tarihleri arasında Cork’ta düzenlenen Pwn2Own Ireland 2025’te Summoning Team, DEVCORE, Team DDOS ve bir CyCraft stajyeri dahil ekipler, kimlik doğrulamayı atlamak ve QNAP NAS cihazlarında tam sistemi devralmak için bu sıfır günleri zincirledi.
Temel işletim sistemi güvenlik açıkları, CGI işleyicilerinde arabellek taşmalarına ve serbest kullanımdan sonra hatalara yol açan uygunsuz giriş doğrulamasını içerir ve kullanıcı ayrıcalıkları olmadan rastgele komut enjeksiyonunu kolaylaştırır.
Örneğin saldırganlar, başlatılmamış cihazlarda kabuk komutlarını yürütmek için quick.cgi bileşenindeki yığın tabanlı taşmalardan yararlanarak, zincirleme ayrıcalık yükseltmeleri yoluyla başlatılmış sistemlere kadar genişledi.
Bu teknikler, cgi.cgi’deki yığın taşmaları gibi tarihi QNAP sorunlarını yansıtır, ancak modern aygıt yazılımında sıfır tıklamalı RCE’ye yükselir. Zero Day Initiative (ZDI) etkinlik organizatörleri, NAS kategorisi için 150.000 $’ı aşan ödüller vererek 56 benzersiz hackte toplam 792.750 $ katkıda bulundu.
QNAP, 24 Ekim 2025’te yayınlanan ürün yazılımı güncellemelerinde bu sorunları çözdü ve etkilenen işletim sistemi dallarını bellek bozulması ve kimlik doğrulama atlama vektörlerine yönelik azaltımlarla hedef aldı.
Özellikle, QTS 5.2.x kullanıcılarının, taşma istismarlarını önlemek için güçlendirilmiş giriş temizleme ve çekirdek yamaları içeren 5.2.7.3297 yapı 20251024 veya daha yeni bir sürüme yükseltmeleri gerekir.
QuTS Hero h5.2.x aynı yapıyı takip ederken h5.3.x, 5.3.1.3292 yapı 20251024 veya üstünü gerektirir ve hibrit depolama kurulumlarında RCE risklerini artıran ZFS’ye özgü entegrasyon kusurlarını giderir.
Her ne kadar CVSS puanları bazı girişler için beklemede kalsa da, sıfır gün durumu ve Pwn2Own bağlamı bunları kritik olarak sınıflandırıyor ve hizmet reddi (DoS) potansiyeli veri güvenliği ihlalinin öncüsü olarak görülüyor.
Yöneticiler güncellemeleri Denetim Masası > Sistem > Ürün Yazılımı Güncelleme arayüzü aracılığıyla dağıtabilir ve otomatik algılama ve kurulum için Canlı Güncellemeyi etkinleştirebilir. QNAP’ın İndirme Merkezi’nden manuel indirmeler, çevrimdışı ortamları destekleyerek ürünün EOL durum sayfasına göre uyumluluk kontrolleri yapılmasını sağlar.
Azaltmalar
Artık risklere karşı koymak için QNAP, istismar sonrası yanal hareketi sınırlamak için VLAN’ları kullanarak NAS trafiğinin anında parola rotasyonu ve bölümlendirilmesini önerir.
Güvenlik açıkları, çekirdek işletim sisteminin ötesine geçerek, yol geçişinin yetkisiz yedekleme erişimine izin verdiği HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842) ve ironik bir şekilde tarama motorunda komut eklemeye karşı savunmasız olan Malware Remover (CVE-2025-11837) gibi entegre uygulamalara kadar uzanıyor.
NAS cihazları genellikle hassas dosyalar için merkezi depo görevi gördüğünden, kurumsal dağıtımlarda bu kusurlar tedarik zinciri saldırılarına olanak sağlayabilir.
Güvenlik ekipleri, anormal CGI istekleri için günlükleri denetlemeli ve sürekli izleme için izinsiz giriş tespit sistemleri (IDS) gibi araçları entegre etmelidir.
Bu Pwn2Own sonucu, hata ödüllerinin vahşi saldırıların önlenmesindeki etkililiğinin altını çiziyor ve tüm QNAP kullanıcılarını, NAS hedefli tehditlerin arttığı bir ortamda ürün yazılımı hijyenine öncelik vermeye teşvik ediyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
