QNAP Systems, QTS işletim sisteminin birden fazla sürümünü ve ağa bağlı depolama (NAS) cihazlarındaki uygulamaları etkileyen iki kritik komut enjeksiyonu güvenlik açığı için güvenlik önerileri yayınladı.
İlk açık CVE-2023-23368 olarak izlenmektedir ve 10 üzerinden 9,8 kritik önem derecesine sahiptir. Bu, uzaktaki bir saldırganın bir ağ üzerinden komutları yürütmek için kullanabileceği bir komut enjeksiyonu güvenlik açığıdır.
Güvenlik sorunundan etkilenen QTS sürümleri QTS 5.0.x ve 4.5.x, QuTS hero h5.0.x ve h4.5.x ve QuTScloud c5.0.1’dir.
Düzeltmeler aşağıdaki sürümlerde mevcuttur:
QTS 5.0.1.2376 yapı 20230421 ve sonrası
QTS 4.5.4.2374 yapı 20230416 ve sonrası
QuTS hero h5.0.1.2376 build 20230421 ve sonrası
QuTS hero h4.5.4.2374 build 20230417 ve sonrası
QuTScloud c5.0.1.2374 ve sonrası
İkinci güvenlik açığı CVE-2023-23369 olarak tanımlanmıştır ve 9.0’lık daha düşük bir önem derecesine sahiptir ve bir öncekiyle aynı etkiye sahip olacak şekilde uzaktaki bir saldırgan tarafından da istismar edilebilir.
Etkilenen QTS sürümleri arasında 5.1.x, 4.3.6, 4.3.4, 4.3.3 ve 4.2.x, Multimedia Console 2.1.x ve 1.4.x ve Media Streaming add-on 500.1.x ve 500.0.x bulunmaktadır.
Düzeltmeler aşağıdaki sürümlerde mevcuttur:
QTS 5.1.0.2399 yapı 20230515 ve sonrası
QTS 4.3.6.2441 build 20230621 ve sonrası
QTS 4.3.4.2451 build 20230621 ve sonrası
QTS 4.3.3.2420 build 20230621 ve sonrası
QTS 4.2.6 yapı 20230621 ve sonrası
Multimedya Konsolu 2.1.2 (2023/05/04) ve sonrası
Multimedya Konsolu 1.4.8 (2023/05/05) ve sonrası
Medya Akışı eklentisi 500.1.1.2 (2023/06/12) ve sonrası
Medya Akışı eklentisi 500.0.0.11 (2023/06/16) ve sonrası
QTS, QuTS hero veya QuTScloud’u güncellemek için yöneticiler oturum açabilir ve Denetim Masası > Sistem > Ürün Yazılımı Güncellemesi’ne gidebilir ve en son sürümü indirmek ve yüklemek için Canlı Güncelleme altındaki “Güncellemeyi Kontrol Et” seçeneğine tıklayabilir. Güncellemeler QNAP’ın web sitesinden manuel olarak da indirilebilir.
Multimedya Konsolunun güncellenmesi, Uygulama Merkezinde kurulumu arayarak ve “Güncelle” düğmesine tıklayarak mümkündür (yalnızca daha yeni bir sürüm varsa kullanılabilir). Süreç, kullanıcıların Uygulama Merkezinde arama yaparak da bulabilecekleri Medya Akışı eklentisinin güncellenmesi için de benzerdir.
NAS cihazları genellikle veri depolamak için kullanıldığından, siber suçlular genellikle hassas verileri çalmak ve/veya şifrelemek için yeni hedefler aradıklarından, komut yürütme kusurları ciddi bir etkiye sahip olabilir. Saldırganlar daha sonra verileri sızdırmamak ya da şifrelerini çözmek için kurbandan fidye talep edebilirler.
QNAP cihazları geçmişte büyük ölçekli fidye yazılımı saldırılarında hedef alınmıştı. Bir yıl önce, Deadbolt fidye yazılımı çetesi, halka açık internete maruz kalan NAS cihazlarını şifrelemek için zero day açığından yararlandı.
Bununla birlikte, QNAP kullanıcılarının mevcut güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaları tavsiye edilmektedir.