QNAP, müşterileri, uzaktaki saldırganların QNAP NAS cihazlarına kötü amaçlı kod eklemesine olanak tanıyan kritik bir güvenlik açığını gideren QTS ve QuTS sabit yazılım güncellemelerini yüklemeleri konusunda uyarıyor.
CVE-2022-27596 olarak izlenen ve şirket tarafından “Kritik” (CVSS v3 puanı: 9.8) olarak derecelendirilen güvenlik açığı, işletim sisteminin QTS 5.0.1 ve QuTS hero h5.0.1 sürümlerini etkiliyor.
QNAP güvenlik danışma belgesi, “QTS 5.0.1 ve QuTS hero h5.0.1 çalıştıran QNAP cihazlarını etkilediği bir güvenlik açığı bildirildi. Bu güvenlik açığından yararlanılırsa, bu güvenlik açığı uzaktaki saldırganların kötü amaçlı kod enjekte etmesine olanak tanır” uyarısında bulunur.
Satıcı, güvenlik açığı veya istismar potansiyeli hakkında pek fazla ayrıntı açıklamadı, ancak NIST portalı bunu bir SQL enjeksiyon kusuru olarak tanımlıyor.
SQL enjeksiyon kusurları, saldırganların güvenlik açığı bulunan cihazlara özel hazırlanmış istekler göndererek meşru SQL sorgularını beklenmedik davranışlar gösterecek şekilde değiştirmesine olanak tanır.
Ayrıca QNAP, güvenlik açığının önem derecesini açıklayan bir JSON dosyası yayınladı; bu, güvenlik açığının hedeflenen cihazda kullanıcı etkileşimi veya ayrıcalıkları gerektirmeden uzak saldırganlar tarafından düşük karmaşıklıktaki saldırılarda kullanılabileceğini gösterir.
QNAP, kullanıcıların QTS ve QuTS hero üzerinde çalışan cihazlarının güvende kalması için aşağıdaki sürümlere yükseltilmesi gerektiğini söylüyor:
- QTS 5.0.1.2234 yapı 20221201 ve sonrası
- QuTS hero h5.0.1.2248 yapı 20221215 ve sonrası
Güncellemeyi gerçekleştirmek için müşteriler, cihazlarında yönetici kullanıcı olarak oturum açabilir ve “Kontrol Paneli → Sistem → Donanım Yazılımı Güncellemesi.”
Altında “Canlı güncelleştirme“bölümüne tıklayın”Güncellemeleri kontrol ediniz” seçeneğini seçin ve indirme ve kurulumun tamamlanmasını bekleyin.
Alternatif olarak, QNAP kullanıcıları, doğru ürün tipini ve modelini seçtikten ve cihazlarına manuel olarak uyguladıktan sonra güncellemeyi QNAP’ın İndirme Merkezinden indirebilirler.
QNAP’ın danışma belgesi, CVE-2022-27596’yı vahşi ortamda aktif olarak istismar edilmiş olarak işaretlemedi.
Bununla birlikte, kusurun ciddiyeti nedeniyle, tehdit aktörleri aktif olarak QNAP güvenlik açıklarını hedeflediğinden, kullanıcıların mevcut güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaları önerilir.
QNAP cihazları, açıktaki NAS cihazlarındaki verileri şifrelemek için güvenlik açıklarını kötüye kullandığı bilinen DeadBolt ve eCh0raix olarak bilinen devam eden fidye yazılımı kampanyalarının hedefidir.