Synology, Milyonlarca NAS Cihazını Etkileyen Kritik Sıfır Tıklama RCE Kusuru için Yama Çağrısında Bulundu


05 Kasım 2024Ravie LakshmananGüvenlik Açığı / Veri Güvenliği

NAS Cihazları

Tayvanlı ağa bağlı depolama (NAS) cihazı üreticisi Synology, DiskStation ve BeePhotos’u etkileyen ve uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik kusurunu ele aldı.

CVE-2024-10443 olarak izlendi ve seslendirildi RİSK:İSTASYON Midnight Blue tarafından sıfır gün kusuru, güvenlik araştırmacısı Rick de Jager tarafından Pwn2Own Ireland 2024 hackleme yarışmasında gösterildi.

Hollandalı şirket, RISK:STATION’ın “saldırganların popüler Synology DiskStation ve BeeStation NAS cihazlarında kök düzeyinde kod yürütmesine olanak tanıyan, milyonlarca cihazı etkileyen, kimliği doğrulanmamış bir sıfır tıklama güvenlik açığı” olduğunu söyledi.

Güvenlik açığının sıfır tıklamalı yapısı, istismarın tetiklenmesi için herhangi bir kullanıcı etkileşimi gerektirmediği anlamına geliyor ve böylece saldırganların hassas verileri çalmak ve ek kötü amaçlı yazılım yerleştirmek için cihazlara erişim sağlamasına olanak tanıyor.

Siber güvenlik

Bu kusur aşağıdaki sürümleri etkilemektedir:

Müşterilere yamaları uygulamaları için yeterli zaman tanınması amacıyla güvenlik açığıyla ilgili ek teknik ayrıntılar şu anda gizli tutuluyor. Midnight Blue, şu anda eşzamanlı olarak etkilenen ve internete maruz kalan bir ila iki milyon arasında Synology cihazının bulunduğunu söyledi.

QNAP 3 Kritik Hatayı Yamaladı

Açıklama, QNAP’in QuRouter, SMB Service ve HBS 3 Hybrid Backup Sync’i etkileyen ve tamamı Pwn2Own sırasında istismar edilen üç kritik kusuru çözdüğü sırada geldi.

  • CVE-2024-50389 – QuRouter 2.4.5.032 ve sonraki sürümlerde düzeltildi
  • CVE-2024-50387 – SMB Hizmeti 4.15.002 ve SMB Hizmeti h4.15.002 ve sonrasında düzeltildi
  • CVE-2024-50388 – HBS 3 Hybrid Backup Sync 25.1.1.673 ve sonraki sürümlerde düzeltildi

Yukarıda belirtilen güvenlik açıklarından herhangi birinin yaygın olarak kullanıldığına dair bir kanıt olmasa da, NAS cihazlarının geçmişte fidye yazılımı saldırıları için yüksek değerli hedefler olduğu göz önüne alındığında, kullanıcılara yamaları mümkün olan en kısa sürede uygulamaları tavsiye ediliyor.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link