Tanınmış NAS üreticisi QNAP, ağ ürünlerinde son derece tehlikeli iki güvenlik açığı ve Windows için VPN cihazı istemcisinde başka bir güvenlik açığı bildirdi. Boşluklardan uzaktan saldırı mümkündür - uygun yamalar mevcuttur.
QNAP tarafından duyurulan güvenlik açıkları, ağ ürünleri içerisinde kullanılan birçok uygulamayı etkiliyor. Hizmetler ayrıca KOBİ sektörü için büyük NAS sistemlerinde çalışır ve çalışır. Bu nedenle, daha küçük, özel olarak kullanılan NAS sistemleri veya kameralara ek olarak, birçok şirket ürünü de güvenlik açıklarından etkilenir.
DoS saldırısı için uzaktan devralma mümkün
QNAP, kontrolsüz kaynak tüketimiyle ilgili bir güvenlik açığının birkaç QNAP işletim sistemini etkilediğini bildiriyor. Güvenlik açığından yararlanılırsa, uzak kullanıcılar bir hizmet reddi (DoS) saldırısı başlatabilir. Güvenlik açığı CVE-2022-27600 olarak listeleniyor. Kesin CVSS değeri bilinmemekle birlikte Çok Tehlikeli için 7.0 ila 8.9 aralığında olmalıdır.
Güvenlik açığı, güncellenebilen aşağıdaki sürümlerde zaten giderilmiştir:
- QTS 5.0.1.2277 Yapı 20230112 ve sonrası
- QTS 4.5.4.2280 Yapı 20230112 ve sonrası
- QuTS hero h5.0.1.2277 yapı 20230112 ve sonrası
- QuTS hero h4.5.4.2374 yapı 20230417 ve sonrası
- QuTScloud c5.0.1.2374 yapı 20230419 ve sonrası
- QVR Pro Cihazı 2.3.1.0476 ve sonrası
QVPN Cihaz İstemcisindeki bir başka güvenlik açığı
Ayrıca QNAP, Windows için QVPN Aygıt İstemcisi'nde bir güvenlik açığı bildiriyor. Güvenlik açığı, CVE-2022-27595 kapsamında da oldukça tehlikeli kabul ediliyor. Burada kitaplıkları yüklemek güvenli değildir ve Windows için QVPN Device Client çalıştıran cihazları etkileyebilir. Bu güvenlik açığından yararlanılırsa, yerel olarak kimliği doğrulanmış kullanıcıların kitaplığı güvenli olmayan bir şekilde yükleyerek kod yürütmesine izin verebilir. macOS, Android ve iOS için QVPN Device Client güvenlik açığından etkilenmez.
Bu boşluk için bir güncelleme de mevcuttur:
Windows için QVPN Cihaz İstemcisi, sürüm 2.0.0.1316 ve üstü
QNAP.com'da daha fazlası