QNAP, geçen haftanın PWN2OWN Hacking yarışmasında güvenlik araştırmacıları tarafından kullanılan ikinci bir sıfır gün hatası için güvenlik yamaları yayınladı.
CVE-2024-50387 olarak izlenen bu kritik SQL enjeksiyonu (SQLI) güvenlik açığı, QNAP'ın SMB hizmetinde bulundu ve şimdi 4.15.002 veya sonraki sürümlerde ve H4.15.002 ve sonraki sürümlerde sabitleniyor.
Sıfır gün kusuru, Yingmuo'nun (Devcore Staj programı ile çalışmak) bir kök kabuğu almasına ve PWN2OWN İrlanda 2024'teki bir QNAP TS-464 NAS cihazını ele geçirmesine izin verdikten bir hafta sonra yamalandı.
Salı günü şirket, Rasgeler komutları yürütmek ve bir TS-464 NAS cihazını kesmek için Viettel Cyber Security'nin PWN2OWN'daki ekibi tarafından sömürülen HBS 3 Hibrid Yedek Senkronizasyon Olağanüstü Durum Kurtarma ve Veri Yedekleme Çözümünde başka bir sıfır gün sabitledi.
Viettel Takımı, dört günlük yarışmadan sonra PWN2OWN İrlanda 2024 kazandı ve bu sırada 70'den fazla benzersiz sıfır gün güvenlik açığı gösteren bilgisayar korsanlarına 1 milyon dolardan fazla ödül verildi.
QNAP bir hafta içinde her iki güvenlik açığını yamalarken, satıcılar genellikle Pwn2own yarışmasından sonra güvenlik yamalarını yayınlamak için zaman ayırırlar, trend Micro'nun Sıfır Günü girişimi yarışma sırasında açıklanan hatalarla ilgili ayrıntıları yayınlamaya kadar 90 gün geçirirler.
NAS cihazınızdaki yazılımı güncellemek için, yönetici olarak Quts Hero veya QTS'ye giriş yapın, uygulama merkezine gidin, "SMB hizmeti" ni arayın ve "Güncelleme" yi tıklayın. Yazılım zaten güncelse bu düğme kullanılamaz.
QNAP cihazları siber suçlular için popüler hedefler olduğundan, hızlı bir şekilde yamalama şiddetle tavsiye edilir, çünkü hassas kişisel dosyaları yedeklemek ve depolamak için yaygın olarak kullanılırlar. Bu, bilgi çalma kötü amaçlı yazılımları yüklemek için onları kolay hedefler ve kurbanları verilerini geri almak için bir fidye ödemeye zorlamak için mükemmel kaldıraç.
Örneğin, Haziran 2020'de QNAP, QNAP NAS cihazlarına girmek ve şifrelemek için fotoğraf istasyonu uygulaması güvenlik açıklarından yararlanan ECH0RAix Ransomware saldırıları konusunda uyardı.
QNAP ayrıca Eylül 2020'de eski ve savunmasız fotoğraf istasyonu sürümlerini çalıştıran halka açık NAS cihazlarını hedefleyen Agelocker fidye yazılımı saldırılarını da uyardı. Haziran 2021'de ECH0RAIX (QNAPCrypt), bilinen güvenlik açıklarından yararlanan yeni saldırılar ve zayıf şifreler kullanarak kaba NAS hesaplarını geri getiren yeni saldırılarla geri döndü.
QNAP cihazlarını hedefleyen diğer son saldırılar arasında, internete maruz kalan NAS cihazlarında verileri şifrelemek için çeşitli güvenlik açıklarını kötüye kullanan Deadbolt, Checkmate ve ECH0RAix fidye yazılımı kampanyaları yer alıyor.
QNAP Düzeltmeler NAS Backup Software Zero-Day Pwn2own'da sömürüldü
QNAP, NAS Backup, Felaket Kurtarma Uygulamasında Backdoor Hesabını Kaldırıyor
70'den fazla sıfır gün kusuru bilgisayar korsanlarına Pwn2own İrlanda'da 1 milyon dolar alıyor
QNAP, Synology, Lexmark Cihazları PWN2OWN 3. gününde hacklendi
Samsung Galaxy S24 ve Sonos Era, PWN2OWN İrlanda 2. Günü'nde hacklendi
Kaynak: Bleeping Computer