QNAP, kullanıcıların mümkün olan en kısa sürede ele alması gereken üç kritik ciddiyet kusuru da dahil olmak üzere, birden fazla güvenlik açığını ele alan güvenlik bültenleri yayınladı.
Firmanın NAS sistemlerinde kullanılan bir not alma ve işbirliği uygulaması olan QNAP Notes Station 3 ile başlayarak, aşağıdaki iki güvenlik açığı bunu etkiler:
QNAP, bu sorunları Notes Station 3 sürüm 3.9.7'de çözdü ve kullanıcıların bu sürüme veya daha sonra riski azaltmasını önerir. Güncelleme ile ilgili talimatlar bu bültende mevcuttur.
Aynı bülten, CVE-2024-38644 ve CVE-2024-38646'da listelenen diğer iki sorun, yüksek şiddetli (CVSS v4 skoru: 8.7, 8.4) komut enjeksiyonu ve istismar için kullanıcı seviyesi erişim gerektiren yetkisiz veri erişim problemleridir .
Cumartesi günü ele alınan üçüncü kritik kusur QNAP, QNAP'ın yüksek hızlı, güvenli yönlendiricileri olan Qurouter 2.4.x ürünlerini etkileyen CVE-2024-48860'dır.
CVSS V4'e göre 9.5 "kritik" olarak derecelendirilen kusur, uzak saldırganların ana bilgisayar sisteminde komutlar yürütmesine izin verebilecek bir OS komutu enjeksiyon kusurudur.
QNAP ayrıca CVE-2024-48861 olarak izlenen ikinci, daha az şiddetli bir komut enjeksiyon problemini sabitledi ve her iki sorun da Qurouter sürüm 2.4.3.106'da ele alındı.
Bu hafta sonu önemli düzeltmeler alan diğer ürünler QNAP AI Core (AI motoru), Qulog Center (günlük yönetim aracı), QTS (NAS cihazları için standart işletim sistemi) ve QUTS Hero (QTS'nin ileri sürümü).
İşte 7.7 ila 8.7 (yüksek) arasında bir CVSS V4 derecesi ile bu ürünlerde sabitlenen en önemli kusurların bir özeti.
QNAP müşterilerine, potansiyel saldırılara karşı korunmak için güncellemeleri mümkün olan en kısa sürede yüklemeleri şiddetle tavsiye edilir.
Her zaman olduğu gibi, QNAP cihazları asla doğrudan internete bağlanmamalı ve bunun yerine kusurların uzaktan kullanılmasını önlemek için bir VPN'nin arkasına dağıtılmalıdır.
QNAP, NAS Backup, Felaket Kurtarma Uygulamasında Backdoor Hesabını Kaldırıyor
QNAP, yaygın NAS sorunlarına neden olan Buggy QTS ürün yazılımını çeker
Microsoft Kasım 2024 Patch Salı 4 sıfır gün, 89 kusur düzeltiyor
Microsoft Ekim 2024 Patch Salı 5 sıfır gün, 118 kusur düzeltiyor
Sophos, Network Cihazlarına Saldıran Çinli Hacker'larla 5 Yıllık Savaşı ortaya çıkarıyor
Kaynak: Bleeping Computer