QNAP, müşterilerini, verileri QNAP ağa bağlı depolama (NAS) cihazına yedeklemeye yönelik bir Windows yardımcı programı olan şirketin NetBak PC Agent’ını da etkileyen kritik bir ASP.NET Core güvenlik açığını düzeltmeleri konusunda uyardı.
CVE-2025-55315 olarak takip edilen bu güvenlik atlama kusuru, Kestrel ASP.NET Core web sunucusunda bulundu ve düşük ayrıcalıklara sahip saldırganların, HTTP istek kaçakçılığı yoluyla diğer kullanıcıların kimlik bilgilerini ele geçirmesine veya ön uç güvenlik kontrollerini atlamasına olanak tanıyor.
QNAP, “NetBak PC Agent, kurulum sırasında Microsoft ASP.NET Core bileşenlerini yükler ve bunlara bağlıdır. Bu nedenle, NetBak PC Agent çalıştıran bilgisayarlar, sistem güncellenmemişse ASP.NET Core’un etkilenen bir sürümünü içerebilir.” dedi.
“QNAP, kullanıcıların Windows sistemlerinde en son Microsoft ASP.NET Core güncellemelerinin yüklü olduğundan emin olmalarını şiddetle tavsiye eder.”
Sistemlerini olası saldırılara karşı korumak için, QNAP kullanıcılarına, en son ASP.NET Core çalışma zamanı bileşenlerini almak için NetBak PC Agent uygulamasını yeniden yüklemeleri veya .NET 8.0 indirme sayfasından en son ASP.NET Core Runtime’ı (Barındırma Paketi) indirip yükleyerek bilgisayarlarındaki ASP.NET Core’u manuel olarak güncellemeleri önerilir.
.NET güvenlik teknik program yöneticisi Barry Dorrans’ın iki hafta önce Microsoft’un (bir ASP.NET Core güvenlik kusuru tarafından alınan “şimdiye kadarki en yüksek” önem derecesi ile işaretlenen) bu güvenlik açığını yaması sırasında açıkladığı gibi, CVE-2025-55315 saldırılarının etkisi, hedeflenen ASP.NET uygulamasına bağlıdır.
Başarılı bir şekilde yararlanma, saldırganların başka bir kullanıcı olarak oturum açmasına (ayrıcalık yükseltme için), siteler arası istek sahteciliği (CSRF) kontrollerini atlamasına veya enjeksiyon saldırıları gerçekleştirmesine olanak tanıyabilir.
QNAP, “Başarılı bir şekilde yararlanılırsa, kimliği doğrulanmış bir saldırgan, web sunucusuna özel hazırlanmış HTTP istekleri gönderebilir ve bu da hassas verilere yetkisiz erişime, sunucu dosyalarında değişiklik yapılmasına veya sınırlı hizmet reddi koşullarına yol açabilir.” diye ekledi.
Ocak ayında QNAP ayrıca, şirketin veri yedekleme ve olağanüstü durum kurtarma çözümü olan HBS 3 Hybrid Backup Sync 25.1.x’teki, uzak saldırganların yama yapılmamış Ağa Bağlı Depolama (NAS) cihazlarında kötü niyetli olarak hazırlanmış kod yürütmesine olanak verebilecek yarım düzine rsync güvenlik açığını yamamak için güvenlik güncellemeleri yayınladı.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.