Tayvanlı ağa bağlı depolama (NAS) cihazı üreticisi Synology, DiskStation ve BeePhotos’u etkileyen ve uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik kusurunu ele aldı.
CVE-2024-10443 olarak izlendi ve seslendirildi RİSK:İSTASYON Midnight Blue tarafından sıfır gün kusuru, güvenlik araştırmacısı Rick de Jager tarafından Pwn2Own Ireland 2024 hackleme yarışmasında gösterildi.
Hollandalı şirket RISK:STATION, “saldırganların popüler Synology DiskStation ve BeeStation NAS cihazlarında kök düzeyinde kod yürütmesine olanak tanıyan, milyonlarca cihazı etkileyen, kimliği doğrulanmamış bir sıfır tıklama güvenlik açığıdır” söz konusu.
Güvenlik açığının sıfır tıklamalı yapısı, istismarın tetiklenmesi için herhangi bir kullanıcı etkileşimi gerektirmediği anlamına geliyor ve böylece saldırganların hassas verileri çalmak ve ek kötü amaçlı yazılım yerleştirmek için cihazlara erişim sağlamasına olanak tanıyor.
Bu kusur aşağıdaki sürümleri etkilemektedir:
Müşterilere yamaları uygulamaları için yeterli zaman tanınması amacıyla güvenlik açığıyla ilgili ek teknik ayrıntılar şu anda gizli tutuluyor. Midnight Blue, şu anda eşzamanlı olarak etkilenen ve internete maruz kalan bir ila iki milyon arasında Synology cihazının bulunduğunu söyledi.
QNAP 3 Kritik Hatayı Yadı
Açıklama, QNAP’in QuRouter, SMB Service ve HBS 3 Hybrid Backup Sync’i etkileyen ve tamamı Pwn2Own sırasında istismar edilen üç kritik kusuru çözdüğü sırada geldi.
- CVE-2024-50389 – QuRouter 2.4.5.032 ve sonraki sürümlerde düzeltildi
- CVE-2024-50387 – SMB Hizmeti 4.15.002 ve SMB Hizmeti h4.15.002 ve sonrasında düzeltildi
- CVE-2024-50388 – HBS 3 Hybrid Backup Sync 25.1.1.673 ve sonraki sürümlerde düzeltildi
Yukarıda belirtilen güvenlik açıklarından herhangi birinin yaygın olarak kullanıldığına dair bir kanıt olmasa da, NAS cihazlarının geçmişte fidye yazılımı saldırıları için yüksek değerli hedefler olduğu göz önüne alındığında, kullanıcılara yamaları mümkün olan en kısa sürede uygulamaları tavsiye ediliyor.