.png)
QNAP, NAS Cihazlarınızı Tehdit Eden 2 Kritik Kusur İçin Yama Yayınladı
QNAP, işletim sistemini etkileyen ve rastgele kod yürütülmesine neden olabilecek iki kritik güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
CVE-2023-23368 (CVSS puanı: 9.8) olarak izlenen güvenlik açığı, QTS, QuTS hero ve QuTScloud'u etkileyen bir komut enjeksiyon hatası olarak tanımlanıyor.
Şirket, hafta sonu yayınlanan bir danışma belgesinde, "Kötüye kullanılırsa, güvenlik açığı uzaktaki saldırganların bir ağ üzerinden komut yürütmesine izin verebilir" dedi.
Eksiklik aşağıdaki sürümleri kapsar -
- QTS 5.0.x (QTS 5.0.1.2376 derlemesinde 20230421 ve sonrasında düzeltildi)
- QTS 4.5.x (QTS 4.5.4.2374 derlemesinde 20230416 ve sonrasında düzeltildi)
- QuTS hero h5.0.x (QuTS hero h5.0.1.2376 derleme 20230421 ve sonrasında düzeltildi)
- QuTS hero h4.5.x (QuTS hero h4.5.4.2374 derleme 20230417 ve sonrasında düzeltildi)
- QuTScloud c5.0.x (QuTScloud c5.0.1.2374 ve sonraki sürümlerde düzeltildi)
Ayrıca QNAP tarafından düzeltilen, QTS, Multimedya Konsolu ve Medya Akışı eklentisinde (CVE-2023-23369, CVSS puanı: 9.0) uzaktaki saldırganların bir ağ üzerinden komut yürütmesine izin verebilecek başka bir komut enjeksiyon kusurudur.
Yazılımın aşağıdaki sürümleri etkilenmiştir:
- QTS 5.1.x (QTS 5.1.0.2399 derlemesinde 20230515 ve sonrasında düzeltildi)
- QTS 4.3.6 (QTS 4.3.6.2441 derleme 20230621 ve sonrasında düzeltildi)
- QTS 4.3.4 (QTS 4.3.4.2451 derleme 20230621 ve sonrasında düzeltildi)
- QTS 4.3.3 (QTS 4.3.3.2420 derleme 20230621 ve sonrasında düzeltildi)
- QTS 4.2.x (QTS 4.2.6 build 20230621 ve sonrasında düzeltildi)
- Multimedya Konsolu 2.1.x (Multimedya Konsolu 2.1.2 (2023/05/04) ve sonrasında düzeltildi)
- Multimedya Konsolu 1.4.x (Multimedya Konsolu 1.4.8 (2023/05/05) ve sonrasında düzeltildi)
- Medya Akışı eklentisi 500.1.x (Medya Akışı eklentisi 500.1.1.2 (2023/06/12) ve sonraki sürümlerde düzeltildi)
- Medya Akışı eklentisi 500.0.x (Medya Akışı eklentisi 500.0.0.11 (2023/06/16) ve sonraki sürümlerde düzeltildi)
Geçmişte fidye yazılımı saldırıları için istismar edilen QNAP cihazlarıyla birlikte, yukarıda belirtilen sürümlerden birini çalıştıran kullanıcılardan olası tehditleri azaltmak için en son sürüme güncellemeleri istenir.
Gelişme, Tayvanlı şirketin, zayıf parolalara sahip internete açık ağa bağlı depolama (NAS) cihazlarını hedef alan yaygın kaba kuvvet saldırılarında kullanılan kötü amaçlı bir sunucuyu kapattığını açıklamasından haftalar sonra geldi.
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı