Birim 42 araştırmacıları, 7 Kasım 2023’te QNAP cihazlarında yeni bir güvenlik açığı keşfetti ve bu güvenlik açığı, satıcı tarafından 19 Aralık 2023’te onaylandı ve ardından rehberlik ve öneriler sağlamak üzere bir güvenlik önerisi yayınlandı.
Palo Alto Networks Birim 42’nin Gelişmiş Tehdit Önleme (ATP) ve telemetri sistemleri, QNAP satıcısının QNAP QTS ve QuTS kahraman ürün yazılımında yeni bir sıfır gün güvenlik açığı tespit etti. Güvenlik açığı şu şekilde izlenir: CVE-2023-50358 ve QNAP Ağa Bağlı Depolama (NAS) cihazlarını etkiler.
Bilginiz olsun diye söylüyorum, NAS cihazları konusunda uzmanlaşmış bir şirket olan QNAP, genellikle QNAP NAS cihazlarının donanım yazılımına gömülü olan QNAP Turbo NAS Sistemi (QTS) işletim sistemiyle tanınır.
onun içinde rapor 13 Şubat 2024’te yayınlanan yazarlar Chao Lei, Jeff Luo ve Zhibin Zhang, CVE-2023-50358’in, QNAP QTS ürün yazılımının quick.cgi bileşeninde bulunan ve kimlik doğrulaması olmadan erişilebilen bir komut ekleme güvenlik açığı olduğunu açıkladılar. Güvenlik açığı, HTTP istek parametresi todo=set_timeinfo ayarlandığında ve SPECIFIC_SERVER parametresi, NTP Adresi giriş adıyla /tmp/quick/quick_tmp.conf yapılandırma dosyasına kaydedildiğinde ortaya çıkar.
Bileşen daha sonra ntpdate yardımcı programını kullanarak zaman senkronizasyonunu başlatır ve komut satırının yürütülmesi, quick_tmp.conf ve system() içindeki NTP Adresinin okunmasıyla sağlanır. SPECIFIC_SERVER parametresinden gelen güvenilmeyen veriler, kabukta yürütülen bir komut satırı oluşturmaya yardımcı olarak rastgele komut yürütülmesine yol açar.
Bu güvenlik açığının 289.665 ayrı IP adresini etkilediğini belirtmekte fayda var. Güvenlik açığından etkilenen ilk beş ülke Almanya, ABD, Çin, İtalya ve Japonya’dır.
Unit 42 araştırmacılarına göre, tehdit aktörleri sürekli olarak NAS cihazları gibi ağa bağlı ana bilgisayarlardaki güvenlik açıklarını arıyor çünkü bunlar hızla istismar edilebiliyor. Bu nedenle bu cihazların kusursuz güvenliğinin sağlanması gereklidir.
IoT cihazları, düşük saldırı karmaşıklığı ve kritik etkileri nedeniyle uzaktan kod yürütme güvenlik açıklarına karşı savunmasızdır. Bu tehditlere karşı koruma sağlamak için QNAP, QTS veya QuTScloud Hero-QTS 5.1.5 veya QuTS Hero h5.1.5’in en son sürümüne güncelleme yapmanızı önerir.
Etkilenen Cihazların Listesi
- QTS 5.1.x
- QTS 5.0.1
- QTS 5.0.0
- QTS 4.5.x
- QTS 4.3.6
- QTS 4.3.4
- QTS 4.3.x
- QTS 4.2.x
- QTS kahramanı h5.1.x
- QTS kahramanı h5.0.1
- QTS kahramanı h5.0.0
- QuTS kahraman h4.x
QNAP’ta piyasaya sürülmüş Etkilenen kuruluşlara hafifletme talimatlarını takip etmeleri veya ürün yazılımı güncellemelerini uygulamaları konusunda tavsiyelerde bulunan bir güvenlik tavsiyesi.
“Birden fazla güvenlik açığının çeşitli QNAP işletim sistemi sürümlerini etkilediği bildirildi. İşletim sisteminin komut ekleme güvenlik açıklarından yararlanılması durumunda kullanıcıların ağ üzerinden komut yürütmesine olanak tanınabilir.”
Satıcı, tavsiye belgesinde CVE-2023-47218 ve CVE-2023-50358 adlı iki güvenlik açığının düzeltildiğini belirtti ve düzeltmelerin nasıl uygulanacağını açıkladı.
“Cihazınıza tamamen sabit bir sürüm yüklemek istemiyorsanız yine de kısmen sabitlenmiş bir sürüm kurarak güvenlik açıklarını azaltabilirsiniz. Ancak kısmen düzeltilmiş bir sürümün kurulum işlemi sırasında güvenlik açıklarının hala mevcut olduğunu unutmayın. Güvenlik açıkları ancak kurulum tamamlandıktan sonra ortadan kayboluyor.”
İLGİLİ KONULAR
- CISA ve Fortinet, FortiOS’un Yeni Sıfır Gün Kusurları Konusunda Uyardı
- DSLog Arka Kapısı ve Kripto Madencileri Tarafından İstismar Edilen Ivanti VPN Kusurları
- Bilgisayar Korsanları Airbus EFB Uygulamasındaki Güvenlik Açıklarını Ortaya Çıkardı ve Uçak Verilerini Riske Attı
- Etik Hackerlar 835 Güvenlik Açığı Bildirerek 2023’te 450 Bin Dolar Kazandı
- Akıllı Kasklardaki Kusur Milyonları Hacklenme ve Gözetim Riskine Maruz Bıraktı