QNAP, Ağa Bağlı Depolama (NAS) cihazlarının çoğunda kullanıcıları yüksek önemde bir güvenlik açığı konusunda uyardı.
İlk olarak Linux cihazlarını etkileyen Kirli Boru güvenlik açığı, yerel erişime sahip düşük ayrıcalıklı kullanıcılara etkilenen sürücülere kök ayrıcalıkları verir. Bu, salt okunur dosyalarda bile veri enjekte etmelerine veya verilerin üzerine yazmalarına olanak tanır.
Kusur, Linux Çekirdeğinde 5.8’den itibaren keşfedildi ve hatta Android cihazları içeriyor. Vahşi doğada güvenlik açığından yararlanıldığına dair bir kanıt bulunmamakla birlikte, siber güvenlik araştırmacısı Max Kellermann tarafından yayınlanan bir kavram kanıtı var.
Azaltıcı etkenler ve geçici çözümler
QNAP, hata düzeltme ekinin Linux 5.16.11, 5.15.25 ve 5.10.102 sürümleri için zaten yayınlandığını söyledi. Ancak QNAP kullanıcıları, OEM kendi yamasını yayınlayana kadar beklemek zorunda kalacak.
Şirket yaptığı duyuruda, “Şu anda bu güvenlik açığı için herhangi bir azaltma mevcut değil” dedi. “Kullanıcıların güvenlik güncellemelerini kullanıma sunulur sunulmaz tekrar kontrol etmelerini ve yüklemelerini öneririz.”
QTS 5.0.x ve QuTS hero h5.0.x çalıştıran cihazlar etkilenir. Bu, tüm QNAP x86 tabanlı NAS’larda ve ayrıca bazı QNAP ARM tabanlı NAS cihazlarında QTS 5.0.x’i içerir; ve tüm QNAP x86 tabanlı NAS ve bazı QNAP ARM tabanlı NAS cihazlarında QuTS hero h5.0.x
Etkilenen cihazların tam listesi bulunabilir burada. Şirket, QTS 4.x çalıştıran NAS cihazlarının etkilenmediğini veya savunmasız olmadığını onayladı.
QNAP ayrıca, resmi yamanın raflara çıkmasını beklerken kullanıcıların kullanabileceği geçici bir düzeltme yayınladı. Bu, yönlendiricinin Bağlantı Noktası Yönlendirme işlevinin devre dışı bırakılmasının yanı sıra QNAP NAS’ın UPnP işlevinin devre dışı bırakılmasını içerir.
Şirket ayrıca SSH ve Telnet bağlantılarının nasıl kapatılacağı, sistem port numarasının nasıl değiştirileceği, cihaz şifrelerinin nasıl güncelleneceği ve IP ve hesap erişim korumasının nasıl etkinleştirileceği konusunda ayrıntılı bir açıklama yaptı. Talimatlar bulunabilir burada.
Üzerinden: BleeBilgisayar