QNAP, geçen haftaki Pwn2Own hackleme yarışması sırasında güvenlik araştırmacıları tarafından istismar edilen ikinci bir sıfır gün hatası için güvenlik yamaları yayınladı.
CVE-2024-50387 olarak izlenen bu kritik SQL enjeksiyon (SQLi) güvenlik açığı, QNAP’ın SMB Hizmetinde bulundu ve artık 4.15.002 veya üzeri ile h4.15.002 ve üzeri sürümlerde düzeltildi.
Sıfır gün kusuru, YingMuo’nun (DEVCORE Staj Programı ile birlikte çalışarak) Pwn2Own İrlanda 2024’te bir kök kabuk almasına ve bir QNAP TS-464 NAS cihazını devralmasına izin verdikten bir hafta sonra düzeltildi.
Salı günü şirket, Viettel Cyber Security’nin Pwn2Own’daki ekibi tarafından rastgele komutlar yürütmek ve bir TS-464 NAS cihazını hacklemek için kullanılan HBS 3 Hybrid Backup Sync felaket kurtarma ve veri yedekleme çözümünde bir sıfır gün daha düzeltti.
Viettel Takımı, dört gün süren yarışmanın ardından Pwn2Own İrlanda 2024’ü kazandı; bu yarışma sırasında 70’ten fazla benzersiz sıfır gün güvenlik açığını gösteren bilgisayar korsanlarına 1 milyon dolardan fazla ödül verildi.
QNAP her iki güvenlik açığını da bir hafta içinde düzeltirken, Trend Micro’nun Sıfır Gün Girişimi’nin yarışma sırasında açıklanan hatalara ilişkin ayrıntıları açıklamasına kadar 90 günleri olduğu göz önüne alındığında, satıcılar genellikle Pwn2Own yarışmasından sonra güvenlik yamalarını yayınlamak için zaman ayırıyor.
NAS cihazınızdaki yazılımı güncellemek için QuTS Hero’da veya QTS’de yönetici olarak oturum açın, Uygulama Merkezine gidin, “SMB Hizmeti”ni arayın ve “Güncelle”yi tıklayın. Yazılım zaten güncelse bu düğme kullanılamaz.
QNAP cihazları, hassas kişisel dosyaları yedeklemek ve depolamak için yaygın olarak kullanıldığından siber suçlular için popüler hedefler olduğundan, yama işleminin hızlı bir şekilde yapılması önemle tavsiye edilir. Bu, onları bilgi çalan kötü amaçlı yazılım yükleme konusunda kolay hedef haline getiriyor ve kurbanları verilerini geri almak için fidye ödemeye zorlamak için mükemmel bir avantaj sağlıyor.
Örneğin, Haziran 2020’de QNAP, QNAP NAS cihazlarını hacklemek ve şifrelemek için Photo Station uygulamasının güvenlik açıklarından yararlanan eCh0raix fidye yazılımı saldırıları konusunda uyardı.
QNAP ayrıca Eylül 2020’de müşterileri, eski ve savunmasız Photo Station sürümlerini çalıştıran, halka açık NAS cihazlarını hedef alan AgeLocker fidye yazılımı saldırıları konusunda uyardı. Haziran 2021’de eCh0raix (QNAPCrypt), bilinen güvenlik açıklarından yararlanan ve zayıf parolalar kullanarak NAS hesaplarına kaba kuvvet uygulayan yeni saldırılarla geri döndü.
QNAP cihazlarını hedef alan diğer son saldırılar arasında, İnternet’e açık NAS cihazlarındaki verileri şifrelemek için çeşitli güvenlik açıklarını kötüye kullanan DeadBolt, Checkmate ve eCh0raix fidye yazılımı kampanyaları yer alıyor.