Uç Nokta Güvenliği, Nesnelerin İnterneti Güvenliği
Tayvanlı Donanım Üreticisi Uygunsuz Kimlik Doğrulama Kusurunu Düzeltti
Prajeet Nair (@prajeetspeaks) •
14 Mart 2024
QNAP Systems Cumartesi günü, kimlik doğrulaması olmadan cihazlara yetkisiz erişime izin veren kritik bir hata için bir yama yayınladı.
Ayrıca bakınız: ML Destekli NGFW'nin 4 Temel Unsuru: Makine Öğrenimi Ağ Güvenliğini Nasıl Bozuyor?
Tayvanlı donanım satıcısının tavsiyesi, CVSS puanı 9,8 olan CVE-2024-21899 olarak takip edilen kusurun, kullanıcıların ağ erişimi yoluyla sistem güvenliğini tehlikeye atmasına olanak verebilecek uygunsuz bir kimlik doğrulama sorunu olduğunu söyledi.
QNAP'a göre bu sorun QTS, QuTS Hero ve QuTScloud ürünlerini etkiliyor ve potansiyel olarak ağa bağlı depolama cihazlarını yetkisiz erişime maruz bırakıyor.
QNAP'ın tavsiye belgesi ayrıca QTS'de çözülen iki ek güvenlik açığını da vurgulamaktadır: QuTS Hero, QuTScloud ve myQNAPcloud. CVE-2024-21900 ve CVE-2024-21901 olarak izlenen bu orta önemdeki sorunlar, ağ üzerinden komut yürütülmesine veya kod enjeksiyonuna neden olabilir.
CVE-2024-21900, kötüye kullanılması durumunda kimliği doğrulanmış kullanıcıların ağ üzerinden komut yürütmesine olanak tanıyan bir enjeksiyon güvenlik açığıdır. CVE-2024-21901, kimliği doğrulanmış yöneticilerin ağ üzerinden kötü amaçlı kod eklemesine olanak tanıyan bir SQL enjeksiyon güvenlik açığıdır.
Şirket, güvenlik açığı düzeltmelerinden yararlanmak için kullanıcıların sistemlerini ve uygulamalarını düzenli olarak en son sürüme güncellemelerini öneriyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Aralık 2023'te çeşitli endüstriyel kontrol sistemlerinde, bilgisayar korsanlarının sisteme tam erişim elde etmesine ve hassas bilgileri ifşa etmesine olanak tanıyan çok sayıda güvenlik açığı buldu.
CISA'nın tavsiyesi, ağ bağlantılı bir ortamda IP kameraların gözetimi ve yönetimi için tasarlanmış bir cihaz olan QNAP'ın VioStor NVR'sine yönelikti.
VioStor NVR'de CVE-2023-47565 olarak takip edilen işletim sistemi komut ekleme güvenlik açığı, bir saldırganın Ağ Zaman Protokolü ayarlarından yararlanarak uzaktan kod yürütmesine olanak sağlayabilir.
QNAP VioStor'da NTP, harici zaman sunucularıyla zaman senkronizasyonuyla ilgili yapılandırma seçeneklerini ifade eder. Protokol, bir ağdaki cihazların saatlerini senkronize etmek, doğru ve tutarlı zaman ayarlarına sahip olmalarını sağlamak için kullanılır. Güvenlik açığı uzaktan kod yürütülmesine de neden olabilir.
“Güvenlik açıklarınızı bilmek ve bunları yönetmek için bir plana sahip olmak, savunulabilir bir mimarinin kritik bir bileşenidir. OT güvenlik stratejileri genellikle ortamın sağlamlaştırılmasıyla başlar – yabancı OT ağ erişim noktalarının kaldırılması, BT/OT arayüz noktalarında güçlü politika kontrolünün sürdürülmesi ve güvenlik açıklarının azaltılması Dragos'un istihbarat araştırmaları direktörü Kate Vajda, Aralık ayında Information Security Media Group'a şunları söyledi: “yüksek riskli güvenlik açıkları.”
Vajda, savunulabilir bir mimarinin yalnızca “sertleştirilmiş” bir mimari olmadığını, aynı zamanda arkasındaki insanları ve süreçleri de desteklediğini söyledi.
Vajda, “IRP'de oluşturulan ve gelişmiş OT görünürlüğü ve izlemesi için uygulanan toplama gereksinimlerini desteklemelidir. Son olarak, risk tabanlı güvenlik açığı yönetiminin birçok yönü yalnızca savunucuların savunulabilir bir mimariden yararlanabilmesiyle mümkündür” dedi.