QNAP, işletim sistemini etkileyen ve rastgele kod yürütülmesine neden olabilecek iki kritik güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
CVE-2023-23368 (CVSS puanı: 9,8) olarak takip edilen güvenlik açığı, QTS, QuTS Hero ve QuTScloud’u etkileyen bir komut ekleme hatası olarak tanımlanıyor.
Şirket, hafta sonu yayınlanan bir danışma belgesinde, “Eğer bu güvenlik açığından yararlanılırsa, uzaktaki saldırganların ağ üzerinden komut yürütmesine olanak tanınabilir” dedi.
Eksiklik aşağıdaki sürümleri kapsamaktadır –
- QTS 5.0.x (QTS 5.0.1.2376 derleme 20230421 ve sonrasında düzeltildi)
- QTS 4.5.x (QTS 4.5.4.2374 derleme 20230416 ve sonrasında düzeltildi)
- QuTS Hero h5.0.x (QuTS Hero h5.0.1.2376 derleme 20230421 ve sonrasında düzeltildi)
- QuTS Hero h4.5.x (QuTS Hero h4.5.4.2374 derleme 20230417 ve sonrasında düzeltildi)
- QuTScloud c5.0.x (QuTScloud c5.0.1.2374 ve sonraki sürümlerde düzeltildi)
QNAP tarafından ayrıca QTS, Multimedya Konsolu ve Medya Akışı eklentisindeki (CVE-2023-23369, CVSS puanı: 9,0) uzaktaki saldırganların ağ üzerinden komut yürütmesine izin verebilecek başka bir komut ekleme hatası da düzeltildi.
Yazılımın aşağıdaki sürümleri etkilenir:
- QTS 5.1.x (QTS 5.1.0.2399 derleme 20230515 ve sonrasında düzeltildi)
- QTS 4.3.6 (QTS 4.3.6.2441 derleme 20230621 ve sonrasında düzeltildi)
- QTS 4.3.4 (QTS 4.3.4.2451 derleme 20230621 ve sonrasında düzeltildi)
- QTS 4.3.3 (QTS 4.3.3.2420 derlemesi 20230621 ve sonrasında düzeltildi)
- QTS 4.2.x (QTS 4.2.6 derlemesi 20230621 ve sonrasında düzeltildi)
- Multimedya Konsolu 2.1.x (Multimedya Konsolu 2.1.2 (2023/05/04) ve sonrasında düzeltildi)
- Multimedya Konsolu 1.4.x (Multimedya Konsolu 1.4.8 (2023/05/05) ve sonrasında düzeltildi)
- Medya Akışı eklentisi 500.1.x (Medya Akışı eklentisi 500.1.1.2 (2023/06/12) ve sonrasında düzeltildi)
- Medya Akışı eklentisi 500.0.x (Medya Akışı eklentisi 500.0.0.11 (2023/06/16) ve sonrasında düzeltildi)
Geçmişte fidye yazılımı saldırıları için kullanılan QNAP cihazları nedeniyle, yukarıda bahsedilen sürümlerden birini çalıştıran kullanıcıların, potansiyel tehditleri azaltmak için en son sürüme güncelleme yapması isteniyor.
Gelişme, Tayvanlı şirketin, zayıf parolalara sahip internete açık ağa bağlı depolama (NAS) cihazlarını hedef alan yaygın kaba kuvvet saldırılarında kullanılan kötü amaçlı bir sunucuyu çökerttiğini açıklamasından haftalar sonra geldi.