Ağa bağlı depolama (NAS) uzmanı Synology, müşterilerini bazı ürünlerinin bir dizi kritik güvenlik açığına karşı savunmasız olduğu konusunda uyardı.
Firma bir danışma belgesinde, “Birden fazla güvenlik açığı, uzaktaki saldırganların hassas bilgiler elde etmesine ve muhtemelen Synology DiskStation Manager (DSM) ve Synology Router Manager’ın (SRM) duyarlı bir sürümü aracılığıyla rastgele kod yürütmesine olanak tanır” dedi.
Sorunlar, Apple Dosyalama Protokolünün açık kaynaklı bir uygulaması olan ve Unix benzeri işletim sistemlerini dosya sunucularına dönüştüren Netatalk’ta keşfedildi.
Henüz yama yok
Netatalk ekibi sorunları yaklaşık bir ay önce 3.1.1 sürümüyle düzeltti. BleeBilgisayar bildirildi. Ancak Synology, etkilenen uç noktalarından bazıları için sürümlerin henüz kullanıma sunulmadığını söylüyor.
Toplamda, dört kusur Synology’nin NAS cihazlarını rahatsız ediyor gibi görünüyor ve bunların tümü 9.8/10 önem puanı aldı.
Synology, yamaların yayınlanmasını beklediği herhangi bir son tarih vermedi, ancak BleepingBilgisayarr, şirketin bu tür şeyleri genellikle güvenlik açığının açıklanmasından sonraki üç ay içinde teslim ettiğini söylüyor.
Ayrıca, DiskStation Manager (DSM) 7.1. veya sonraki sürümleri çalıştıran NAS cihazlarının zaten yamalandığı söylendi.
Bir haftadan kısa bir süre önce, başka bir NAS satıcısı olan QNAP, ürünlerinde güvenlik açıkları keşfetti.
Apache HTTP Sunucusu 2.4.52 ve önceki sürümlerde keşfedilen hatalar, kurban etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırıları gerçekleştirmek için kullanılabilir.
QNAP, NAS sahiplerini bilinen azaltmaları uygulamaları konusunda uyardı ve onlara LimitXMLRequestBody için varsayılan “1M” değerini korumalarını ve mod_sed’i devre dışı bırakmalarını tavsiye etti, çünkü bu iki şey delikleri etkin bir şekilde kapatıyor.
QNAP ayrıca mod_sed süreç içi içerik filtresinin QTS işletim sistemini çalıştıran NAS cihazlarındaki Apache HTTP Sunucusunda varsayılan olarak devre dışı bırakıldığını söyledi.
Şirket o sırada “CVE-2022-22721, 32-bit QNAP NAS modellerini etkiler ve CVE-2022-23943, QNAP cihazlarında Apache HTTP Sunucusunda mod_sed’i etkinleştirmiş olan kullanıcıları etkiler” dedi.
Aracılığıyla BleeBilgisayar