Uç Nokta Güvenliği, Nesnelerin İnterneti Güvenliği
Açıklardan Yararlanmalar Uzaktan Komut Yürütülmesine ve Erişime İzin Verebilir
Prajeet Nair (@prajeetspeaks) •
26 Kasım 2024
Tayvanlı ağa bağlı depolama üreticisi QNAP Systems, işletim sistemindeki ve uygulamalarındaki, saldırganların cihazları tehlikeye atmasına olanak verebilecek çok sayıda kusuru yamaladı.
Ayrıca bakınız: MDR Yönetici Raporu
QNAP Cumartesi günü, çeşitli ağa bağlı depolama, NAS modellerinde, CVSS puanları 9,0’ın üzerinde olan üç kritik kusur da dahil olmak üzere çok sayıda güvenlik açığını açıkladı. Açıklama, QNAP’ın yönlendirici işletim sistemi QuRouter OS’deki birçok kusuru içeriyordu.
Güvenlik açıklarından etkilenen diğer QNAP ürünleri arasında Photo Station, AI Core, QuLog Center, Medya Akışı Eklentisi, QTS ve QuTS Hero yer alıyor.
QuRouter 2.4.x’teki CVE-2024-48860 ve CVE-2024-48861 olarak takip edilen iki kritik komut ekleme güvenlik açığı, uzaktaki saldırganların rastgele komutlar yürütmesine izin verebilir. CVE-2024-48860 bir işletim sistemi komut ekleme hatasıdır ve CVSS ölçeğinde kritik 9,5 olarak derecelendirilmiştir.
Bu cihazlar, IoT bağlantısını yönetmek için endüstriyel IoT, akıllı şehirler, ulaşım, sağlık hizmetleri ve diğer kritik sektörlerde yaygın olarak kullanılmaktadır.
QNAP, donanım yazılımı sürümü 2.4.3.106 ve sonraki sürümlerdeki güvenlik açıklarını yamaladı.
Bu, QNAP Systems’ın QTS ve QuTS kahraman ürünlerine bir yıl içinde ikinci kez yama yapmasıdır. QNAP Systems, Mart ayında bu ürünler için bir yama yayınladı ve ayrıca ağa bağlı depolama cihazlarını yetkisiz erişime maruz bırakan QuTScloud ürünlerini de içeriyordu.
Notlar İstasyon 3: Geniş Saldırı Yüzeyi
Donanım satıcısının tavsiyesi, QNAP’ın ortak not alma ve paylaşma uygulaması Notes Station 3 – sürüm 3.9.x’in, uygulamaya özel iki kritik hata ve iki ek yüksek önem dereceli kusur dahil olmak üzere güvenlik açıklarından önemli ölçüde etkilendiğini söyledi. Bu kusurlar şunları içerir:
- CVE-2024-38643: Eksik kimlik doğrulaması, uzaktaki saldırganların yetkisiz sistem erişimi elde etmesine ve belirli işlevleri yürütmesine olanak tanıyor.
- CVE-2024-38644: Bir komut ekleme kusuru, kullanıcı erişimine sahip saldırganların rastgele komutlar yürütmesine olanak tanır.
- CVE-2024-38645: Sunucu tarafı istek sahteciliği güvenlik açığı, saldırganların hassas uygulama verilerini okumasına olanak tanıyor.
- CVE-2024-38646: Yanlış izin atamaları, kritik kaynaklara yetkisiz erişime izin veriyor. Güvenlik açığı, yönetici erişimine sahip, kimliği doğrulanmış yerel saldırganların kaynağı okumasına veya değiştirmesine olanak tanır.
Notes Station 3, QNAP NAS cihazlarına entegre edilmiş ve çeşitli kullanıcılara hizmet veren bir not alma uygulamasıdır. KOBİ’ler bunu güvenli proje işbirliği ve dokümantasyonu için kullanırken yaratıcı ekipler multimedya desteğinden yararlanıyor.
BT ekipleri teknik günlükleri yönetir, eğitimciler ders notlarını ve araştırmaları saklar, ev kullanıcıları kişisel projeler düzenler ve uzak ekipler güçlü veri gizliliği özellikleriyle özel olarak işbirliği yapar.