Synology, müşterilere ağa bağlı depolama (NAS) cihazlarının bazılarının birden fazla kritik netatalk güvenlik açıkından yararlanan saldırılara maruz kaldığı konusunda uyardı.
Synology, "Birden fazla güvenlik açığı, uzak saldırganların hassas bilgiler almasına ve muhtemelen Synology Diskstation Manager (DSM) ve Synology Router Manager'ın (SRM) duyarlı bir sürümü aracılığıyla keyfi kod yürütmesine izin veriyor." Dedi.
NetAtalk, *Nix/ *BSD çalıştıran sistemlerin macOS istemcileri için Appleshare Dosya Sunucuları (AFP) olarak hareket etmesine izin veren bir AFP (Apple Dosya Protokolü kısaltması) açık kaynaklı bir uygulamadır (yani Synology NAS cihazlarında depolanan dosyalara erişmek için).
NetAtalk Geliştirme Ekibi, PWN2OWN 2021 Hacking yarışmasından üç ay sonra 22 Mart'ta yayınlanan 3.1.1 sürümündeki güvenlik hatalarına hitap etti.
NCC Group'un EDG ekibi, PWN2OWN yarışması sırasında bulut OS ürün yazılımımı çalıştıran bir Western Dijital PR4100 NAS üzerinde kimlik doğrulaması yapmadan uzaktan kod yürütülmesi için güvenlik kusurundan (CVE-2022-23121 olarak izlendi ve 9.8/10 şiddet puanı ile derecelendirildi) kullandı.
Synology, günümüz uyarısında (yani, CVE-2022-23125, CVE-2022-23122, CVE-2022-0194) diğer üç hatayı vurguladı.
Ayrıca, kimlik doğrulanmamış saldırganların, açılmamış cihazlarda uzaktan keyfi kod yürütmelerini sağlıyorlar.
Netatalk geliştirme ekibi geçen ay kusurları ele almak için güvenlik yamaları yayınlamış olsa da, Synology etkilenen ürünlerin bazılarının sürümlerinin hala "devam ettiğini" söylüyor.
NAS Maker bu gelen güncellemeler için tahmini bir zaman çizelgesi sağlamasa da, Synology geçen yıl BleepingComputer'a, yayıncılık tavsiyelerinden sonraki 90 gün içinde etkilenen yazılım için yamalar yayınladığını söyledi.
Şirket ayrıca, Netatalk güvenlik açıklarının Diskstation Manager (DSM) çalıştıran cihazlar için zaten sabitlendiğini ekledi. 7.1 veya üstü.
Bu haftanın başlarında, başka bir Tayvanlı NAS cihaz üreticisi olan QNAP, müşterilerini kritik netatalk güvenlik kusurlarını düzeltene kadar NAS cihazlarının AFP dosya hizmet protokolünü devre dışı bırakmaya çağırdı.
QNAP, netatalk güvenlik açıklarının birden fazla QT ve QUTS Hero işletim sistemi sürümlerini ve şirketin bulut tarafından optimize edilmiş NAS işletim sistemi olan Qutscloud'u etkilediğini söyledi.
Synology gibi, QNAP, etkilenen işletim sistemi sürümlerinden biri için zaten yamalar yayınladı ve QTS 4.5.4.2012 Build 20220419 ve sonraki sürümleri çalıştıran cihazlar için zaten mevcut.
NAS Maker, "QNAP davayı iyice araştırıyor. Etkilenen tüm QNAP işletim sistemi sürümleri için güvenlik güncellemelerini yayınlayacağız ve mümkün olan en kısa sürede daha fazla bilgi sağlayacağız." Dedi.
"Kullanıcıların kullanıma sunuldukları anda güvenlik güncellemelerini tekrar kontrol etmelerini ve yüklemelerini öneririz."
Western Digital Bulut OS güncellemem kritik güvenlik açığını giderir
QNAP, kullanıcıları kritik hataları düzeltene kadar AFP'yi devre dışı bırakmaları konusunda uyarır
Kritik Apache Struts RCE güvenlik açığı tamamen sabit değildi, şimdi yama
Microsoft, bulut hizmetlerinde Spring4shell saldırılarını algılar
Trend Micro Düzeltmeleri Aktif olarak sömürülen uzaktan kod yürütme hatası
Kaynak: Bleeping Computer