Ağa bağlı depolama (NAS) cihazı satıcıları QNAP ve Synology bu hafta, ürünlerine entegre edilmiş açık kaynaklı bir dosya sunucusu teknolojisindeki çok sayıda kritik güvenlik açığını açıkladı.
Birçoğu uzaktan kod yürütmeyi (RCE) etkinleştiren güvenlik açıkları, birden çok işletim sistemi ortamında ağ paylaşımlarına erişmek için Apple Dosya Protokolü dosya sunucusunun açık kaynaklı bir sürümü olan Netatalk’ta bulunmaktadır. Her iki satıcı da ürünlerinin güvenlik açığı içeren tüm sürümlerini güncellemeye çalışıyor.
Aylardır Yamasız
Zero Day Initiative (ZDI) ile koordineli çalışan güvenlik araştırmacıları, Aralık ayında Netatalk’ın geliştiricilerine toplam altı güvenlik açığı bildirdi. Bunlardan üçü, arabellek taşması sorunlarına bağlı kritik RCE hatalarıdır (CVE-2022-0194; CVE-2022-23122; CVE-2022-23125). Kusurlardan ikisi, orta düzeyde sınır dışı bilgi ifşa güvenlik açıklarıdır (CVE-2022-23124; CVE-2022-23123) ve bir tanesi, istisnai koşulların uygun olmayan şekilde ele alınmasına bağlı kritik bir RCE sorunudur (CVE-2022-23121).
Güvenlik açığı araştırması kıdemli direktörü ve Trend Micro’da ZDI başkanı Brian Gorenc, Dark Reading’e tüm Netatalk hatalarının ilk olarak Kasım 2021’de Pwn2Own Austin’de keşfedildiğini söyledi.
Başka bir kusur, yüksek önemde bir arabellek taşması ile ilgili RCE (CVE-2021-31439), Netatalk’ın bakım görevlilerine Mart 2021’de tamamen açıklandı.
Netatalk’taki geliştirme ekibi yayınlandı yazılımın güncellenmiş bir sürümü (Netatalk 3.1.13), yedi güvenlik açığının tümünü ele aldı. Güncellenmiş sürüm, şu anda desteklenen tüm işletim sistemleri için mevcuttur: FreeBSD, Linux, OpenBSD, NetBSD ve Solaris ve türevleri.
Ancak, bazı satıcıların yamaları ürünlerine yerleştirmesi daha uzun bir zaman çizelgesidir. ZDI’dan Gorenc, Netatalk’ın birçok NAS satıcısı tarafından kullanılan üçüncü taraf bir bileşen olması nedeniyle, satıcıların Netatalk sürümlerini izlemekten ve bu sürümleri ürünlerine entegre etmekten sorumlu olduğunu söylüyor. “NAS satıcılarının, Pwn2Own Austin’de açıklanan ve düzeltilen güvenlik açıklarını çözmek için Netatalk dağıtımlarını güncellediğini görmekten memnunuz” diyor.
Western Digital, ürünleri Netatalk’taki kusurlardan etkilenen başka bir satıcıdır. Ancak Synology ve QNAP’tan farklı olarak Western Digital, teknolojideki birden fazla kritik güvenlik açığına ilişkin endişeleri öne sürerek 10 Ocak 2022’de Netatalk’ı proaktif olarak ürünlerinden kaldırdı.
“Netatalk’ın bakımı yapılmadığından, 10 Ocak 2022’de piyasaya sürülen üretici yazılımımızdan Netatalk’ı kaldırdık.” şirket Mart ayında açıkladı. “Kullanıcılar yerel ağ paylaşımlarına erişmeye ve SMB aracılığıyla Time Machine yedeklemesi gerçekleştirmeye devam edebilir.”
Etkilenen Cihazlar
Synology’nin tavsiyesi, güvenlik açıklarını şu şekilde tanımladı: kritik ve uzak saldırganlara izin verme hassas verileri çalmak için. Kötü aktörler, DiskStation Manager (DSM) ve Synology Router Manager (SRM) teknolojilerinin savunmasız bir sürümü aracılığıyla NAS cihazlarında potansiyel olarak rastgele kod yürütebilir.
QNAP, QTS işletim sisteminin birden çok sürümünü savunmasız olarak tanımladı ve şu anda kusurları araştırdığını söyledi. Şirket dedi ki güncellemeleri yayınlamak üzerinde çalışmak etkilenen tüm ürünlere ve müşterilere güncellemeleri kullanıma sunulur sunulmaz yüklemeleri çağrısında bulundu.
Tayvan merkezli NAS üreticisi, düzeltmeler üzerinde çalışırken kuruluşların güvenlik açıklarının oluşturduğu riski azaltmak için atabilecekleri adımları da özetledi. QNAP’ın danışma belgesi, geçen Mart ayındaki kusur olan CVE-2021-31439’u, bir yıldan fazla bir süre önce açıklanmış olmasına rağmen, ürünlerinde hala ele alması gereken sorunlardan biri olarak tanımladı.
Hem Synology hem de QNAP, Dark Reading’den gelen yorum taleplerine hemen yanıt vermedi.