QNAP, saldırganların yama yapılmamış Ağa Bağlı Depolama (NAS) cihazlarında uzaktan kod yürütme elde etmesine olanak tanıyan altı rsync güvenlik açığını düzeltti.
Rsync, arka plan programı aracılığıyla doğrudan dosya senkronizasyonunu, SSH aracılığıyla SSH aktarımlarını ve zamandan ve bant genişliğinden tasarruf sağlayan artımlı aktarımları destekleyen açık kaynaklı bir dosya senkronizasyon aracıdır.
Rclone, DeltaCopy ve ChronoSync gibi birçok yedekleme çözümü tarafından, ayrıca bulut ve sunucu yönetimi işlemlerinde ve genel dosya dağıtımında yaygın olarak kullanılmaktadır.
Kusurlar CVE-2024-12084 (yığın arabellek taşması), CVE-2024-12085 (başlatılmamış yığın yoluyla bilgi sızıntısı), CVE-2024-12086 (sunucu rastgele istemci dosyalarını sızdırıyor), CVE-2024-12087 (yol geçişi) olarak izleniyor –inc-recursive seçeneği aracılığıyla), CVE-2024-12088 (–safe-links seçeneğinin atlanması) ve CVE-2024-12747 (sembolik bağlantı yarışı durumu).
QNAP, bunların yerel, uzak ve bulut depolama hizmetlerini destekleyen şirketin veri yedekleme ve olağanüstü durum kurtarma çözümü olan HBS 3 Hybrid Backup Sync 25.1.x’i etkilediğini söylüyor.
Perşembe günü yayınlanan bir güvenlik tavsiyesinde QNAP, HBS 3 Hybrid Backup Sync 25.1.4.952’deki bu güvenlik açıklarını giderdiğini ve müşterilere yazılımlarını en son sürüme güncellemelerini tavsiye ettiğini söyledi.
NAS cihazınızdaki Hybrid Backup Sync kurulumunu güncellemek için şunları yapmanız gerekir:
- QTS veya QuTS Hero’da yönetici olarak oturum açın.
- Açık Uygulama Merkezi ve HBS 3 Hybrid Backup Sync’i arayın.
- HBS 3 Hybrid Backup Sync’in arama sonuçlarında görünmesini bekleyin
- Tıklamak Güncelleme ve daha sonra TAMAM takip onay mesajında.
Bu Rsync kusurları, uzaktan sistem güvenliğinin ihlal edilmesine yol açan yararlanma zincirleri oluşturmak için birleştirilebilir. Saldırganların yalnızca savunmasız sunuculara anonim okuma erişimine ihtiyacı vardır.
Bir hafta önce rsync 3.4.0 güvenlikle birlikte piyasaya sürüldüğünde CERT/CC, “Birleştirildiğinde, ilk iki güvenlik açığı (yığın arabellek taşması ve bilgi sızıntısı), bir istemcinin çalışan bir Rsync sunucusuna sahip bir cihazda rastgele kod yürütmesine izin veriyor” diye uyardı düzeltir.
“İstemci, sunucuya yalnızca genel aynalar gibi anonim okuma erişimi gerektiriyor. Ayrıca, saldırganlar kötü amaçlı bir sunucunun kontrolünü ele geçirebilir ve bağlı herhangi bir istemcinin rastgele dosyalarını okuyabilir/yazabilir.”
Bir Shodan araması, açığa çıkan rsync sunucularına sahip 700.000’den fazla IP adresini gösterir. Ancak bunların kaçının bu güvenlik açıklarından yararlanan saldırılara karşı savunmasız olduğu açık değil çünkü başarılı bir şekilde yararlanmak için geçerli kimlik bilgileri veya anonim bağlantılar için yapılandırılmış sunucular gerekiyor.