Tayvanlı ağa bağlı depolama (NAS) cihazı üreticisi Synology, geçen haftaki Pwn2Own hackleme yarışması sırasında istismar edilen iki kritik sıfır günü birkaç gün içinde yamaladı.
Midnight Blue güvenlik araştırmacısı Rick de Jager, şirketin BeeStation yazılımı için Synology Photos ve BeePhotos’ta kritik sıfır tıklama güvenlik açıklarını (birlikte CVE-2024-10443 olarak izlenen ve RISK:STATION olarak adlandırılan) buldu.
Synology’nin, bir Synology BeeStation BST150-4T cihazını ele geçirmek için kusurların Pwn2Own İrlanda 2024’te tanıtılmasından iki gün sonra yayınlanan güvenlik tavsiyelerinde açıkladığı gibi, güvenlik kusurları, uzaktaki saldırganların çevrimiçi olarak açığa çıkan savunmasız NAS cihazlarında kök olarak uzaktan kod yürütme elde etmesine olanak tanıyor.
Midnight Blue, “Güvenlik açığı başlangıçta yalnızca birkaç saat içinde, başka bir Pwn2Own sunumunun yerine geçecek şekilde keşfedildi. Gösterimden hemen sonra sorun Synology’ye bildirildi ve 48 saat içinde güvenlik açığını çözen bir yama kullanıma sunuldu.” dedi.
“Ancak, güvenlik açığının cezai suiistimal açısından yüksek bir potansiyele sahip olması ve milyonlarca cihazın etkilenmesi nedeniyle, sistem sahiplerini sorun hakkında bilgilendirmek ve acil hafifletici önlemlerin gerekli olduğu noktasını vurgulamak için bir medya erişimi yapıldı.”
Synology, aşağıdaki yazılım sürümlerindeki güvenlik açıklarını giderdiğini söylüyor; ancak bunlar, savunmasız sistemlere otomatik olarak uygulanmaz ve müşterilere, gelen olası saldırıları engellemek için mümkün olan en kısa sürede güncelleme yapmaları önerilir:
- BeeStation OS 1.1 için BeePhotos: 1.1.0-10053 veya üzeri sürüme yükseltme
- BeeStation OS 1.0 için BeePhotos: 1.0.2-10026 veya üstüne yükseltme
- DSM 7.2 için Synology Photos 1.7: 1.7.0-0795 veya üstüne yükseltin.
- DSM 7.2 için Synology Photos 1.6: 1.6.2-0720 veya üstüne yükseltin.
Tayvanlı bir diğer NAS cihazı üreticisi olan QNAP, bilgisayar korsanlığı yarışması sırasında istismar edilen iki kritik sıfır günü daha bir hafta içinde yamaladı (şirketin SMB Hizmeti ve Hibrit Yedekleme Senkronizasyonu felaket kurtarma ve veri yedekleme çözümünde).
Synology ve QNAP güvenlik güncellemelerini aceleyle yayınlarken, satıcılara Trend Micro’nun Sıfır Gün Girişimi’nin yarışma sırasında açıklanan hatalara ilişkin ayrıntıları açıklaması için 90 gün süre tanınır ve genellikle yamaları yayınlamak için zaman ayırırlar.
Bunun nedeni, NAS cihazlarının hem ev hem de kurumsal müşteriler tarafından hassas verileri depolamak için yaygın olarak kullanılması ve ayrıca uzaktan erişim için sıklıkla İnternet erişimine maruz kalmalarıdır. Ancak bu durum onları zayıf parolalardan veya güvenlik açıklarından yararlanarak sistemleri ihlal eden, verileri çalan, dosyaları şifreleyen ve kayıp dosyalara erişim sağlamak için fidye talep ederek sahiplerinden şantaj yapan siber suçlular için savunmasız hedefler haline getiriyor.
Pwn2Own İrlanda 2024’te Synology sıfır günlerinin tanıtımını yapan Midnight Blue güvenlik araştırmacıları (güvenlik güncellemelerini ilk kez bildiren kişi) siber güvenlik gazetecisi Kim Zetter’e, ABD ve Avrupa’daki polis departmanlarının ağlarında internete açık Synology NAS cihazları bulduklarını söyledi. yanı sıra Güney Kore, İtalya ve Kanada’dan kritik altyapı yüklenicileri.
QNAP ve Synology, yıllardır çevrimiçi ortamda açığa çıkan cihazların fidye yazılımı saldırıları tarafından hedef alındığı konusunda müşterilerini uyarıyordu. Örneğin, ilk olarak Haziran 2016’da ortaya çıkan eCh0raix fidye yazılımı (QNAPCrypt olarak da bilinir), bu tür sistemleri düzenli olarak hedef alıyor; Haziran 2019’da bildirilen (QNAP ve Synology cihazlarına karşı) ve Haziran 2020’de iki büyük ölçekli olanı öne çıkıyor.
Daha yeni saldırı dalgalarında tehdit aktörleri, İnternet’e açık NAS cihazlarını şifrelemek için diğer kötü amaçlı yazılım türlerini (DeadBolt ve Checkmate fidye yazılımı dahil) ve çeşitli güvenlik açıklarını da kullandı.