Ağa bağlı depolama (NAS) aygıtları için çeşitli Quality Network Appliance Provider (QNAP) işletim sistemlerindeki (OS) bir çift sıfır gün güvenlik açığı, dünya çapında tahmini 80.000 cihazı etkiliyor. Etkilenen dört işletim sisteminden ikisi için yama uygulanmamış durumda.
QNAP, Nesnelerin İnterneti (IoT) depolama, ağ iletişimi ve akıllı video için donanım ve yazılım sağlar. Sternum’daki araştırmacılar tarafından keşfedilen işletim sistemi hataları, kararsız koda neden olabilecek ve kimliği doğrulanmış bir siber suçlunun rasgele kod yürütmesi için bir yol sağlayabilecek bellek erişim ihlalleridir.
CVE-2022-27597 ve CVE-2022-27598 altında izlenen güvenlik açıkları, Sternum’a göre QTS, QuTS hero, QuTScloud ve QVP OS’yi etkiliyor ve QTS sürüm 5.0.1.2346 derleme 20230322’de (ve sonraki sürümlerde) düzeltildi. ve QuTS kahraman sürümü h5.0.1.2348 yapı 20230324 (ve üstü). QuTScloud ve QVP işletim sistemi yamasız kalır, ancak QNAP, kusurları “acilen düzelttiğini” söyledi.
Sternum araştırmacıları, bellek erişim ihlallerinin QNAP cihazlarının performansını ve güvenliğini etkilediğini açıklıyor.
Sternum’un araştırma güvenliği müdürü Amit Serper, “Performans açısından, kararlılık sorunlarına ve öngörülemeyen kod davranışına yol açabilirler” diyor. “Güvenlik açısından, kötü niyetli bir tehdit aktörü tarafından rastgele kod yürütmek için kullanılabilirler.”
QNAP güvenlik danışma belgesi, “Bu güvenlik açığından yararlanılırsa, güvenlik açığı uzaktan kimliği doğrulanmış kullanıcıların gizli değerler almasına olanak tanır” diye ekler.
Hatalar “düşük önem” olarak derecelendirilirken ve şimdiye kadar Sternum’un araştırmacıları bunların vahşi ortamda istismar edildiğini görmedi, hızlı bir şekilde bir yama yerleştirmek önemlidir – QNAP kullanıcıları, siber suçlular arasında favori bir hedef olmaya devam ediyor.
Neden QNAP Cyberattacker Catnip’tir?
Özellikle DeadBolt fidye yazılımı grubunun, yalnızca 2022’de QNAP kullanıcılarına karşı bir dizi geniş kapsamlı siber kampanyada bir dizi sıfır gün güvenlik açığından yararlandığı ve Mayıs, Haziran ve Eylül aylarında düzenli olarak ortaya çıktığı görüldü.
Vulcan Cyber’in kıdemli teknik mühendisi Mark Parkin’e göre DeadBolt, tercihen kritik sıfır gün olmak üzere QNAP kusurlarını bulmaya – ve bunlardan yararlanmaya – yönelik çaba sarf etme konusunda olduğu gibi net bir şekilde kararlı.
Parkin, “Bazen bir hedefte bir güvenlik açığı bulmanın insanları daha fazlasını aramaya yönelttiği söylenir,” diye açıklıyor. “Buradaki sorun, baktıkça daha fazlasını bulmaları. Saldırganların kaynak koduna erişimi olup olmadığını veya içeriden iz sürmenin başka bir yolunun olup olmadığını merak ediyorsunuz.”
Gizli anlaşma şüpheleri bir yana, özellikle yeni hataların belirli bir sıklıkta gün ışığına çıktığı göz önüne alındığında, yüksek oranda hedeflenen QNAP sistemlerinin güncel olduğundan emin olmak kuruluşların sorumluluğundadır. Sternum’dan elde edilen en son bulgulara ek olarak, Şubat ayında QNAP QTS OS kullanıcıları, CVSS puanı 9,8 olan kritik bir SQL enjeksiyon sorunu konusunda uyarıldı. Açıklamalar saldırı yüzeyini daha da genişletiyor.
En yeni güvenlik açıkları söz konusu olduğunda, sistemleri yama bulunmayan kullanıcılar, güçlü bir uç nokta algılama ve yanıt (EDR) çözümü kullanmalı ve tehlike belirtileri aramalıdır. Siber saldırganların kimliğinin doğrulanması gerekeceğinden, savunmasız sistemlere kimlerin erişimi olduğunu denetlemek ve ek kimlik doğrulama koruması sağlamak da bir saldırının hafifletilmesine yardımcı olabilir.
Bir araştırmacı, yamaların mevcut olduğu durumlarda bile cihazları gerçekten kilitlemenin bazı şirketler için bir zihniyet değişikliği gerektirebileceği konusunda uyarıyor.
“Viakoo CEO’su Bud Broomhead, QNAP cihazları, stratejisi çok sayıda kurbandan küçük bir miktar para istemek olan siber suçlular için çok çekici,” diyor. “QNAP cihazları, diğer birçok IoT cihazıyla birlikte büyük ölçüde BT dışında yönetildiğinden, genellikle yanlış yapılandırılır, güvenlik duvarları tarafından korumasız bırakılır ve yama yapılmadan bırakılır.”
“Bu cihazlar genellikle kurumsal BT ve güvenlik ekipleri tarafından görülmez ve güncelliğini yitirmiş ve güvenli olmayan ürün yazılımı kullanmak gibi nedenlerle uyum dışına çıktıklarında denetlenmez veya gözlemlenmez.”