QNAP’ın ağa bağlı depolama (NAS) sistemlerine yönelik güncellemeler, keyfi kod enjeksiyonuna izin verebilecek kritik bir güvenlik açığını gidermek için yayınlandı.
QNAP müşterilerine, kritik bir güvenlik açığını gidermek için QTS ve QuTS donanım yazılımlarını güncellemeleri tavsiye ediliyor.
Güvenlik kusuru şu şekilde izlenir: (CVE-2022-27596) ve “Kritik” (CVSS v3 puanı: 9,8) olarak derecelendirilmiştir. İşletim sisteminin QTS 5.0.1 ve QuTS hero h5.0.1 sürümlerini etkiler.
“Güvenlik açığının, QTS 5.0.1 ve QuTS hero h5.0.1 çalıştıran QNAP cihazlarını etkilediği bildirildi. Bu güvenlik açığından yararlanılırsa, QNAP güvenlik danışma belgesine göre uzak saldırganların kötü amaçlı kod enjekte etmesine olanak tanır.
NIST Ulusal Güvenlik Açığı Veritabanı (NVD), etrafındaki belirli teknik ayrıntıların belirsiz olmasına rağmen, kusuru bir SQL enjeksiyon güvenlik açığı olarak tanımladı.
Saldırganlar, geçerli SQL sorgularını değiştirmek ve güvenlik açığı bulunan cihazlarda beklenmeyen eylemler gerçekleştirmek için özel hazırlanmış istekleri kullanarak SQL enjeksiyon kusurlarından yararlanabilir.
MITRE’ye göre “Hassas bilgileri okumak mümkün olabileceği gibi, bir SQL enjeksiyon saldırısı ile bu bilgileri değiştirmek ve hatta silmek de mümkündür.”
QNAP’ın güvenlik açığının ciddiyetini özetleyen bir JSON dosyasına göre, hedeflenen cihaza kullanıcıların veya ayrıcalıkların katılımı olmadan düşük karmaşıklıktaki saldırılar kullanan uzaktaki saldırganlar tarafından kolayca kullanılabilir.
Özellikle, CVE-2022-27596, QNAP’ın danışmanlığı tarafından vahşi ortamda aktif olarak istismar edildiği şeklinde işaretlenmemiştir.
QNAP NAS Kritik Güvenlik Açığı için Güncellemeler
QNAP’a göre, kullanıcılar güvende kalmak için QTS ve QuTS hero üzerinde çalışan cihazlarını aşağıdaki sürümlere güncellemelidir:
- QTS 5.0.1.2234 yapı 20221201 ve sonrası
- QuTS hero h5.0.1.2248 yapı 20221215 ve sonrası
Kullanıcıların, QTS veya QuTS hero’da yönetici olarak oturum açmaları, Denetim Masası > Sistem > Donanım Yazılımı Güncellemesi’ne gitmeleri ve güncellemeleri yüklemek için “Canlı Güncelleme” bölümü altında “Güncellemeyi Kontrol Et”i seçmeleri önerilir.
QNAP kullanıcıları, uygun ürün tipini ve modelini seçtikten sonra güncellemeyi QNAP’ın İndirme Merkezinden indirerek cihazlarını manuel olarak da yükseltebilirler.
Bu nedenle, tehdit aktörleri düzenli olarak QNAP güvenlik açıklarını aradıkları için, kusurun ciddiyeti nedeniyle kullanıcılara mevcut tüm güvenlik yükseltmelerini mümkün olan en kısa sürede yüklemeleri önerilir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin