QNAP, uzaktaki saldırganların ağ üzerinden komut yürütmesine olanak verebilecek iki kritik güvenlik açığı hakkında bir güvenlik danışma belgesi yayınladı.
Güvenlik açıklarından biri, QNAP’ın ağa bağlı depolama sistemleri (NAS) için QTS ve QuTS işletim sistemlerini (OS) etkiliyor. İkincisi QTS, Multimedya Konsolu ve Medya Akışı eklentisinin sürümlerinde bulunabilir.
CVE-2023-23368
İlk güvenlik açığı, CVE-2023-23368 (CVSS puanı 10 üzerinden 9,8), bir işletim sistemi komut enjeksiyon güvenlik açığıdır.
İşletim sistemi komut enjeksiyonu (kabuk enjeksiyonu olarak da bilinir), bir saldırganın uygulamayı çalıştıran cihazda rastgele işletim sistemi (OS) komutları yürütmesine ve genellikle uygulamanın ve tüm verilerinin tamamen tehlikeye atılmasına olanak tanıyan bir güvenlik açığıdır.
Aşağıdaki sürümlerde güvenlik açığına yönelik bir düzeltme mevcuttur:
- QTS 5.0.1.2376 derlemesi 20230421 ve üzeri
- QTS 4.5.4.2374 derlemesi 20230416 ve üzeri
- QuTS Hero h5.0.1.2376 derlemesi 20230421 ve sonrası
- QuTS Hero h4.5.4.2374 derlemesi 20230417 ve sonrası
- QuTScloud c5.0.1.2374 ve üzeri
QTS’yi, QuTS Hero’yu veya QuTScloud’u güncellemek için şunları yapabilirsiniz:
- QTS, QuTS Hero veya QuTScloud’da yönetici olarak oturum açın.
- Denetim Masası > Sistem > Firmware Güncelleme’ye gidin.
- Canlı Güncelleme altında Güncellemeyi Denetle’ye tıklayın.
- Sistem mevcut en son güncellemeyi indirip yükleyecektir.
Bu işinize yaramazsa güncellemeyi QNAP web sitesinden de indirebilirsiniz. Destek > İndirme Merkezi’ne gidin ve ardından cihazınız için manuel güncelleme gerçekleştirin.
CVE-2023-23369
İkinci güvenlik açığı olan CVE-2023-23369 (CVSS puanı 10 üzerinden 9), aynı zamanda çeşitli QNAP işletim sistemi sürümlerini etkilediği bildirilen bir işletim sistemi komut ekleme güvenlik açığıdır. Güvenlik açığından yararlanılması durumunda kullanıcıların ağ üzerinden komut yürütmesine olanak tanınabilir.
Aşağıdaki sürümler için güvenlik açığına yönelik bir düzeltme mevcuttur:
- Multimedya Konsolu 2.1.2 (2023/05/04) ve üzeri
- Multimedya Konsolu 1.4.8 (2023/05/05) ve üzeri
- QTS 5.1.0.2399 derlemesi 20230515 ve üzeri
- QTS 4.3.6.2441 derlemesi 20230621 ve üzeri
- QTS 4.3.4.2451 derlemesi 20230621 ve üzeri
- QTS 4.3.3.2420 derlemesi 20230621 ve üzeri
- QTS 4.2.6 derlemesi 20230621 ve üzeri
- Medya Akışı eklentisi 500.1.1.2 (2023/06/12) ve üzeri
- Medya Akışı eklentisi 500.0.0.11 (2023/06/16) ve üzeri
Multimedya Konsolunu güncellemek için:
- QTS’de yönetici olarak oturum açın.
- Uygulama Merkezini açın ve ardından arama sembolüne (ayna cam) tıklayın.
- Arama kutusuna “Multimedya Konsolu” yazın ve Enter tuşuna basın.
- Arama sonuçlarında Multimedya Konsolu görünecektir.
- Güncelle’yi tıklayın. (Not: Sürümünüz zaten güncelse Güncelle düğmesi kullanılamaz.)
- Bir onay mesajı görünür.
- Tamam’ı tıklayın.
Medya Akışı eklentisini güncellemek için:
- QTS’de yönetici olarak oturum açın.
- Uygulama Merkezini açın ve ardından arama sembolüne (ayna cam) tıklayın.
- Arama kutusuna “Medya Akışı eklentisi” yazın ve ardından Enter tuşuna basın.
- Medya Akışı eklentisi arama sonuçlarında görünecektir.
- Güncelle’yi tıklayın. (Not: Sürümünüz zaten güncelse Güncelle düğmesi kullanılamaz.)
- Bir onay mesajı görünür.
- Tamam’ı tıklayın.
Ekstra ipucu: Yönetici olarak oturum açtığınızda şifrenizin yeterince güçlü olup olmadığını değerlendirin. 19 Ekim 2023’te QNAP, önemli bir zayıf şifre saldırısı dalgası bildirdi. NAS sahipleri, tüketicilere yönelik fidye yazılımı saldırılarının en yaygın hedeflerinden biridir.
İş çözümlerimiz, fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.