QNAP, Pwn2Own Ireland 2025 yarışması sırasında güvenlik araştırmacılarının QNAP ağa bağlı depolama (NAS) cihazlarını hacklemek için kullandığı yedi sıfır gün güvenlik açığını düzeltti.
Kusurlar, QNAP’ın QTS ve QuTS kahraman işletim sistemlerini (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849) ve şirketin Hyper Data Protector (CVE-2025-59389), Malware Remover’ı (CVE-2025-11837) ve HBS 3 Hybrid Backup Sync’i etkiliyor (CVE-2025-62840, CVE-2025-62842) yazılımı.
QNAP, Cuma günü yayınlanan tavsiyelerde güvenlik hatalarının Pwn2Own’da Summoning Team, DEVCORE, Team DDOS ve bir CyCraft teknoloji stajyeri tarafından gösterildiğini söyledi.
Bu güvenlik kusurlarını düzeltmek için QNAP, yazılımı en son sürüme güncellemenizi ve daha fazla güvenlik için tüm şifreleri değiştirmenizi önerir.
QNAP, aşağıdaki yazılım sürümlerinde tüm bu güvenlik açıklarını düzeltmiştir:
- Hyper Data Protector 2.2.4.1 ve üzeri
- Kötü Amaçlı Yazılım Temizleme Aracı 6.6.8.20251023 ve üzeri
- HBS 3 Hybrid Backup Sync 26.2.0.938 ve üzeri
- QTS 5.2.7.3297 derleme 20251024 ve üzeri
- QuTS Hero h5.2.7.3297 derlemesi 20251024 ve sonrası
- QuTS Hero h5.3.1.3292 derlemesi 20251024 ve sonrası
QTS veya QuTS Hero’da yönetici olarak oturum açmak için işletim sistemlerini güncellemek isteyen kullanıcılar Denetim Masası > Sistem > Donanım Yazılımı Güncellemesi’ne gitmeli ve Canlı Güncelleme altında “Güncellemeyi Denetle” seçeneğine tıklamalıdır.
Güvenlik açığı bulunan uygulamaları güncellemek için önce QTS veya QuTS Hero’da yönetici olarak oturum açın, ardından Uygulama Merkezini açın ve ara düğmesine tıklayın. Güncellemek istediğiniz uygulamanın adını yazın ve ENTER tuşuna basın. Arama sonuçlarında “Güncelle”yi tıklayın ve ardından beliren onay mesajında ”Tamam”ı tıklayarak işlemi onaylayın.
QNAP, “Cihazınızı güvence altına almak için, güvenlik açığı düzeltmelerinden yararlanmak üzere sisteminizi düzenli olarak en son sürüme güncellemenizi öneririz. NAS modeliniz için mevcut en son güncellemeleri görmek için ürün destek durumunu kontrol edebilirsiniz.” dedi.
Bir yıl önce NAS üreticisi, Pwn2Own İrlanda 2024 yarışması sırasında istismar edilen diğer iki sıfır günü yamaladı: Hybrid Backup Sync felaket kurtarma ve veri yedekleme çözümündeki bir işletim sistemi komut enjeksiyon zayıflığı (CVE-2024-50388) ve QNAP’ın SMB Hizmetindeki bir SQL enjeksiyon (SQLi) güvenlik açığı (CVE-2024-50387).
Bugün QNAP, fotoğraf yönetimi ve paylaşım çözümünde, uzak saldırganların savunmasız cihazlarda yetkisiz kod veya komutlar yürütmesine olanak tanıyan kritik bir SQLi güvenlik açığına (CVE-2025-52425) yönelik yamalar içeren QuMagie 2.7.0’ı da yayınladı.
MCP (Model Bağlam Protokolü), LLM’leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.