QNAP Systems, QTS işletim sisteminin birden çok sürümünü ve ağa bağlı depolama (NAS) cihazlarındaki uygulamaları etkileyen iki kritik komut ekleme güvenlik açığı için güvenlik önerileri yayınladı.
İlk kusur, CVE-2023-23368 olarak izleniyor ve kritik önem derecesi 10 üzerinden 9,8’dir. Bu, uzaktaki bir saldırganın ağ üzerinden komut yürütmek için kullanabileceği bir komut yerleştirme güvenlik açığıdır.
Güvenlik sorunundan etkilenen QTS sürümleri QTS 5.0.x ve 4.5.x, QuTS Hero h5.0.x ve h4.5.x ve QuTScloud c5.0.1’dir.
Düzeltmeler aşağıdaki sürümlerde mevcuttur:
- QTS 5.0.1.2376 derlemesi 20230421 ve üzeri
- QTS 4.5.4.2374 derlemesi 20230416 ve üzeri
- QuTS Hero h5.0.1.2376 derlemesi 20230421 ve sonrası
- QuTS Hero h4.5.4.2374 derlemesi 20230417 ve sonrası
- QuTScloud c5.0.1.2374 ve üzeri
İkinci güvenlik açığı CVE-2023-23369 olarak tanımlanır ve 9,0 gibi daha düşük bir önem derecesine sahiptir ve uzaktaki bir saldırgan tarafından önceki güvenlik açığıyla aynı etkiyi sağlayacak şekilde kullanılabilir.
Etkilenen QTS sürümleri arasında 5.1.x, 4.3.6, 4.3.4, 4.3.3 ve 4.2.x, Multimedya Konsolu 2.1.x ve 1.4.x ile Medya Akışı eklentisi 500.1.x ve 500.0.x bulunmaktadır.
Düzeltmeler şurada mevcuttur:
- QTS 5.1.0.2399 derlemesi 20230515 ve üzeri
- QTS 4.3.6.2441 derlemesi 20230621 ve üzeri
- QTS 4.3.4.2451 derlemesi 20230621 ve üzeri
- QTS 4.3.3.2420 derlemesi 20230621 ve üzeri
- QTS 4.2.6 derlemesi 20230621 ve üzeri
- Multimedya Konsolu 2.1.2 (2023/05/04) ve üzeri
- Multimedya Konsolu 1.4.8 (2023/05/05) ve üzeri
- Medya Akışı eklentisi 500.1.1.2 (2023/06/12) ve üzeri
- Medya Akışı eklentisi 500.0.0.11 (2023/06/16) ve üzeri
QTS’yi, QuTS Hero’yu veya QuTScloud’u güncellemek için yöneticiler oturum açıp Denetim Masası > Sistem > Donanım Yazılımı Güncellemesi’ne gidebilir ve en son sürümü indirip yüklemek için Canlı Güncelleme altındaki “Güncellemeyi Denetle” seçeneğine tıklayabilir. Güncellemeler ayrıca QNAP’ın web sitesinden manuel olarak indirilebilir.
Multimedya Konsolunu güncellemek, Uygulama Merkezinde kurulumu arayarak ve “Güncelle” düğmesine tıklayarak mümkündür (yalnızca daha yeni bir sürüm mevcutsa kullanılabilir). İşlem, kullanıcıların Uygulama Merkezi’nde arama yaparak da bulabilecekleri Medya Akışı eklentisini güncellemek için de benzerdir.
NAS cihazları genellikle veri depolamak için kullanıldığından, siber suçlular genellikle hassas verileri çalacak ve/veya şifreleyecek yeni hedefler aradığından, komut yürütme kusurları ciddi bir etkiye sahip olabilir. Saldırganlar daha sonra verileri sızdırmamak veya şifresini çözmek için kurbandan fidye talep edebilir.
QNAP cihazları geçmişte büyük ölçekli fidye yazılımı saldırılarında hedef alınmıştı . Bir yıl önce Deadbolt fidye yazılımı çetesi, halka açık internette açığa çıkan NAS cihazlarını şifrelemek için sıfır gün güvenlik açığından yararlandı .
Bununla birlikte, QNAP kullanıcılarının mevcut güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaları tavsiye edilir.