QNAP, En Son Güvenlik Güncellemeleriyle NAS Cihazlarındaki Kritik Güvenlik Açığı Düzeltiyor


31 Ocak 2023Ravie LakshmananVeri Güvenliği / Güvenlik Açığı

Kritik Güvenlik Açığı

Tayvanlı şirket QNAP, ağa bağlı depolama (NAS) cihazlarını etkileyen ve keyfi kod enjeksiyonuna yol açabilecek kritik bir güvenlik açığını gidermek için güncellemeler yayınladı.

olarak izlendi CVE-2022-27596güvenlik açığı, CVSS puanlama ölçeğinde maksimum 10 üzerinden 9,8 olarak derecelendirilmiştir. QTS 5.0.1 ve QuTS hero h5.0.1’i etkiler.

QNAP Pazartesi günü yayınlanan bir danışma belgesinde, “Bu güvenlik açığından yararlanılırsa, uzaktaki saldırganların kötü amaçlı kod enjekte etmesine olanak tanır.”

Kusuru çevreleyen kesin teknik ayrıntılar net değil, ancak NIST Ulusal Güvenlik Açığı Veritabanı (NVD) bunu bir SQL enjeksiyon güvenlik açığı olarak sınıflandırdı.

Bu, bir saldırganın güvenlik kontrollerini atlamak ve değerli bilgilere erişmek veya bunları değiştirmek için silah haline getirilebilecek şekilde özel hazırlanmış SQL sorguları gönderebileceği anlamına gelir.

MITRE’ye göre “Hassas bilgileri okumak mümkün olabileceği gibi, bir SQL enjeksiyon saldırısı ile bu bilgileri değiştirmek ve hatta silmek de mümkündür.”

Güvenlik açığı, QTS 5.0.1.2234 yapı 20221201 ve sonraki sürümlerin yanı sıra QuTS hero h5.0.1.2248 yapı 20221215 ve sonraki sürümlerde giderilmiştir.

Açığa çıkan QNAP cihazlarındaki sıfır gün güvenlik açıkları, DeadBolt fidye yazılımı aktörleri tarafından hedef ağları ihlal etmek için kullanıldı ve bu da potansiyel tehditleri azaltmak için en son sürüme güncellemeyi zorunlu hale getirdi.

Güncellemeleri uygulamak için, kullanıcıların QTS veya QuTS hero’da yönetici olarak oturum açmaları, Denetim Masası > Sistem > Donanım Yazılımı Güncellemesi’ne gitmeleri ve “Canlı Güncelleme” bölümü altında “Güncellemeyi Kontrol Et”i seçmeleri önerilir.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link