CVE-2025-1021 olarak izlenen Synology’nin Ağ Dosya Sistemi (NFS) hizmetinde kritik bir güvenlik açığı, yetkisiz uzak saldırganların savunmasız diskstation yöneticisi (DSM) cihazlarındaki hassas dosyalara erişmesine izin verildikten sonra çözüldü.
Synology tarafından ciddiyette “önemli” olarak işaretlenen kusur, şirketin popüler ağ ekli depolama (NAS) çözümlerini güçlendiren işletim sistemi olan DSM’nin çeşitli versiyonlarını etkiler.
Güvenlik Açığı Detayları
Sorun, DSM’nin sinokopi bileşeninde eksik bir yetkilendirme kontrolü etrafında odaklanıyor.
.png
)
Synology’nin Güvenlik Danışma Synology-S-25: 03’e göre, güvenlik açığı, kimlik doğrulanmamış saldırganların yazılabilir bir NFS hizmeti aracılığıyla keyfi dosyaları okumasına izin vererek potansiyel olarak gizli bilgileri ortaya çıkarır.
Ortak güvenlik açığı puanlama sistemi (CVSS v3.1) bu riski 10 üzerinden 7,5 oranında derecelendirerek ciddiyetinin altını çiziyor.
Önemli bir şekilde, saldırı herhangi bir kullanıcı etkileşimi veya kimlik doğrulaması gerektirmez ve uzaktan tehdit aktörlerinin sömürülmesini sağlar.
Başarılı saldırılar, kişisel dosyalar, iş belgeleri ve NAS cihazlarında depolanan diğer hassas veriler de dahil olmak üzere ciddi veri sızıntısına yol açabilir.
Bakış açısı | Detaylar |
Güvenlik Açığı Kimliği | CVE-2025-1021 |
Ürün | Synology Diskstation Manager (DSM) |
Bileşen | Stroskopi (NFS Service) |
Şiddet | Önemli |
CVSS v3.1 puanı | 7.5 |
Etkilenen ürünler ve düzeltmeler
Güvenlik açığı aşağıdaki DSM sürümlerinde bulunur:
- DSM 7.2.2 -7.2.2-72806-3 ve üstünde düzeltildi
- DSM 7.2.1 -7.2.1-69057-7 ve üstünde düzeltildi
- DSM 7.1 -7.1.1-42962-8 ve daha sonra sabitlenmiş
Synology, tüm kullanıcıların hemen en son yamalı sürümlere yükseltilmesini önerir. Güncellemeyi uygulamaktan başka bir azaltma stratejisi mevcut değildir.
Bu sorun, kusurları tanımlayan ve bunu sinolojiye bildiren DevCore Araştırma Ekibi (https://devco.re/) tarafından sorumlu bir şekilde açıklandı.
Danışma ilk olarak 26 Şubat 2025’te yayınlandı ve 23 Nisan 2025’te yamalar sunulduktan sonra tam güvenlik açığı ayrıntıları açıklandı.
DSM’nin etkilenen versiyonlarını çalıştıran Synology NAS cihazlarının sahiplerinin, depolanan dosyalarına yetkisiz erişimden kaçınmak için mümkün olan en kısa sürede yükseltme istenir.
Maruz kalan NFS hizmetlerini kullanan kuruluşlar özellikle uyanık olmalıdır, çünkü sömürü herhangi bir özel erişim kimlik bilgileri gerektirmez.
Bu güvenlik açığı, NAS ortamlarının, özellikle ağ dosya sistemlerine erişilebilir olanların düzenli güncellemelerinin ve izlenmesinin önemini vurgulamaktadır.
Synology’nin hızlı yanıtı ve güvenlik araştırmacıları ile koordineli açıklama, potansiyel etkiyi en aza indirmeye yardımcı olmuştur, ancak olay, NAS güvenliğinin hem evlerde ve işletmelerdeki hassas verilerin korunmasında kritik olduğunu hatırlatır.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!