QNAP NAS HBS 3 Hybrid Backup Servisinde Kritik Seviye Güvenlik Zafiyeti Tespit Edildi

QNAP, tehdit aktörlerinin sabit kodlanmış (kaynak kodda açık metin halinde bulunan) kimlik bilgilerini kullanarak QNAP NAS (ağa bağlı depolama) cihazlarında oturum açmasına izin veren kritik bir güvenlik zafiyetini gidermiştir. CVE-2021-28799 olarak izlenen güvenlik zafiyeti, şirketin olağanüstü durum kurtarma ve veri yedekleme çözümü olan HBS 3 Hybrid Backup servisinde, Tayvan merkezli ZUSO APT tarafından keşfedilmiştir.

Zafiyetin Giderildiği Güncel Sürümler:

  • QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415 ve üzeri
  • QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412 ve üzeri
  • QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419 ve üzeri
  • QuTScloud c4.5.1 ~ c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419 ve üzeri tüm sürümler için zafiyet giderilmiştir.

QNAP bu güncellemeler ile iki kritik güvenlik zafiyetini daha gidermiştir. Zafiyetlerden birisi QuTS ve QuTS Hero üzerindeki bir Komut Enjeksiyonu güvenlik zafiyetidir (CVE-2020-2509). Diğeri ise Multimedya Konsolu ve Medya Akışında tespit edilen SQL Injection zafiyetidir (CVE-2020-36195).

Söz konusu zafiyetler tehdit aktörlerinin NAS cihazları üzerinde yetkisiz erişim kazanmalarına izin vermektedir. QNAP yetkilileri söz konusu güvenlik zafiyetinden internet ortamında aktif olarak yararlanıldığına dair henüz bir bulgu olmadığını belirtmektedir. Ancak kritik siber saldırılardan etkilenmemek adına zafiyetli sürümü kullanan kullanıcıların yayınlanan en son sürüme güncelleme yapması önerilmektedir.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!