Twonky Server sürüm 8.5.2, kimliği doğrulanmamış saldırganların medya sunucusu yazılımına tam yönetim erişimi elde etmesine olanak tanıyan iki kritik kimlik doğrulama atlama güvenlik açığı içerir.
Rapid7, güvenlik açıklarının herhangi bir kullanıcı etkileşimi veya geçerli kimlik bilgileri olmadan yönetici hesaplarını tehlikeye atacak şekilde birbirine zincirlenebileceğini keşfetti. Güvenlik açıkları hem Linux hem de Windows platformlarındaki Twonky Server kurulumlarını etkiliyor.
Twonky Server, dünya çapında ağa bağlı depolama (NAS) cihazlarında, yönlendiricilerde, set üstü kutularda ve ağ geçitlerinde yaygın olarak kullanılmaktadır. Shodan verilerine göre şu anda halka açık internete açık yaklaşık 850 örnek var.
Güvenlik Açıkları Saldırganların Kimlik Doğrulamayı Atlamasına İzin Veriyor
İlk güvenlik açığı (CVE-2025-13315), saldırganların alternatif bir yönlendirme mekanizması aracılığıyla API kimlik doğrulama kontrollerini atlamasına olanak tanıyor.
Saldırganlar, standart “/rpc/” yolu yerine “/nmc/rpc/” önekini kullanarak, kimlik doğrulaması yapmadan log_getfile uç noktasına erişebilir.
Bu uç nokta, yöneticinin kullanıcı adını ve şifrelenmiş parolasını içeren uygulama günlüklerini açığa çıkarır.
İkinci güvenlik açığı (CVE-2025-13316), parola şifresinin çözülmesini kolaylaştırır. Twonky Sunucusu, tüm kurulumlarda sabit kodlu Blowfish şifreleme anahtarlarını kullanır.
| CVE | Tanım | CVSS Puanı |
|---|---|---|
| CVE-2025-13315 | Alternatif yönlendirme yoluyla API kimlik doğrulamasını atlama | 9.3 (Kritik) |
| CVE-2025-13316 | Sabit kodlu şifreleme anahtarları parola şifresinin çözülmesini sağlar | 8.2 (Yüksek) |
Rapid7 araştırmacıları, derlenmiş ikili dosyada gömülü on iki statik anahtar tespit etti; bu, şifrelenmiş parola bilgisine sahip herhangi bir saldırganın, halka açık bu anahtarları kullanarak parolanın şifresini düz metne dönüştürebileceği anlamına geliyor.
Rapid7, bu güvenlik açıklarını Twonky Server’ın arkasındaki satıcı Lynx Technology’ye doğru bir şekilde bildirdi.
Ancak satıcı, teknik açıklamanın alındığını kabul ettikten sonra iletişimi durdurdu ve yamaların mümkün olmayacağını belirtti.
Sürüm 8.5.2, herhangi bir güvenlik güncellemesi içermeyen mevcut en son sürüm olmaya devam ediyor. Twonky Server kullanan kuruluşlar, uygulama trafiğini derhal yalnızca güvenilir IP adresleriyle sınırlamalıdır.
Sunucu güvenilmeyen ağlara maruz kalırsa, tüm yönetici kimlik bilgilerinin ele geçirildiği ve değiştirildiği düşünülmelidir.
Rapid7, tüm yararlanma zincirini gösteren ve güvenlik açığı tarama araçlarında tespit yetenekleri sağlamayı planlayan bir Metasploit modülü yayınladı.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
