Synology’nin Microsoft 365 (ABM) için aktif yedeklemesinde kritik bir güvenlik açığı, dünya çapında Microsoft 365 kiracılarından hassas verileri ortaya çıkardı ve potansiyel olarak popüler yedekleme çözümüne dayanan bir milyondan fazla kuruluşu etkiledi.
CVE-2025-4679 olarak izlenen kusur, saldırganların, hedef ortama önceden erişim gerektirmeyen mesajlar, grup üyelikleri, görünüm konuşmaları ve takvim verileri de dahil olmak üzere gizli Microsoft 365 içeriğine erişmesine izin verdi.
Güvenlik açığı nasıl çalıştı
Modzero’daki güvenlik araştırmacıları, kırmızı takım egzersizi sırasında sorunu keşfettiler. Kök neden, Synology’nin küresel Microsoft uygulama kaydı için bir ana kimlik bilgisi olan statik bir Client_Secret’i sızdıran Synology’nin ABM kurulum sürecine kadar izlendi – VIA Synology’nin Middleware Hizmeti (Synooauth.synology.com) tarafından ele alınan yönlendirme URL’si.
.png
)
Bir tarayıcı yönlendirmesine gömülü olan bu kimlik bilgisi, yedekleme kurulumu sırasında ağ trafiğini gözlemleyen herkes tarafından ele geçirilebilir.
Araştırmacılar, “Microsoft 365 kurulumu için herhangi bir Synology Aktif Yedekleme için kurulum sürecinin tek bir incelemesi, ana anahtarı ortaya çıkarabilir ve aktif yedekleme kurumsal başvurusuna izin veren tüm M365 kiracılara erişim sağlayabilir” diye uyardı.
Sızdıran Client_ID ve Client_Secret ile bir saldırgan, ABM’nin yüklendiği herhangi bir kiracı için Microsoft Graph API erişim belirteçleri isteyebilir ve Synology veya Microsoft’a kimlik doğrulamadan büyük miktarda organizasyonel verilere okunaklı erişim elde eder.
Potansiyel etki
- Kapsam: ABM’yi kuran ve izin veren herhangi bir kuruluş risk altındaydı.
- Veri maruziyeti: Saldırganlar tüm Microsoft Teams kanal mesajlarını, grup özelliklerini, Outlook içeriğini ve takvimleri okuyabilir.
- Saldırı Senaryoları: Güvenlik açığı, casusluk, fidye yazılımı için keşif veya küresel bir ölçekte yeraltı satışı için toplu veri hırsızlığı sağladı.
- Önceden erişim gerekmez: Sömürü, hedef ortamında bir dayanak değil, sadece sızdırılmış sırrı gerektiriyordu.
Modzero, 4 Nisan 2025’te sinolojiye karşı kırılganlığı bildirdi. Synology konuyu kabul etti ve CVE-2025-4679’u atadı, ancak şiddetini “orta” (CVSS 6.5) olarak değerlendirdi, araştırmacıların “yüksek” (CVSS 8.6) tahmininden önemli bir düşüş.
Synology’nin kamu danışmanlığı, kusuru sadece “uzaktan kimlik doğrulamalı saldırganların belirtilmemiş vektörler aracılığıyla hassas bilgiler almasına izin vererek” teknik detayları ihmal etmek ve müşterileri tam riski ile uyarmamak olarak nitelendirdi.
Synology, ara katman yazılımı bileşenini düzelttiğinden sorunu çözmek için müşteri eylemi gerekmemiştir. Bununla birlikte, güvenlik uzmanları şeffaflık eksikliğini ve etkilenen kuruluşlara uzlaşma göstergeleri (IOCS) veya doğrudan bildirimler sağlayamamasını eleştirmişlerdir.
Bu olay, bulut hizmetlerindeki tedarik zinciri güvenlik açıklarının tehlikelerini ve geniş, kiracı çapında izin risklerini vurgulamaktadır.
Kusur, tek bir sızdırılmış kimlik bilgisinin binlerce kuruluşun güvenliğini nasıl zayıflatabileceğini gösteriyor ve bulut satıcılarından daha fazla şeffaflık ve proaktif bildirim ihtiyacının altını çiziyor.
Kuruluşlar bulut tabanlı çözümlere geçmeye devam ettikçe, uzmanlar BT liderlerini sağlam izleme, günlüğe kaydetme ve olay müdahale önlemleri uygulamaya ve hassas verilerle emanet edilen üçüncü taraf satıcıların güvenlik uygulamalarını incelemeye çağırıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin