Şirket, QNAP ağa bağlı depolama (NAS) cihazlarında yeni güvenlik açıklarının keşfedildiğini doğruladı.
tarafından bildirildiği gibi BleeBilgisayar, CVE-2022-22721 ve CVE-2022-23943 olarak izlenen güvenlik açıklarının her ikisine de 9,8/10 önem derecesi puanı verilmiştir. Apache HTTP Sunucusu 2.4.52 ve önceki sürümlerde keşfedilen hatalar, kurban etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırıları gerçekleştirmek için kullanılabilir.
QNAP, tam bir yama henüz mevcut olmadığı için NAS sahiplerini bilinen azaltmaları uygulama konusunda uyardı.
Azaltma mevcut, yama bekleniyor
Şirket, “QNAP ürünlerini etkileyen iki güvenlik açığını kapsamlı bir şekilde araştırıyoruz ve güvenlik güncellemelerini mümkün olan en kısa sürede yayınlayacağız” dedi.
“CVE-2022-22721, 32-bit QNAP NAS modellerini etkiler ve CVE-2022-23943, QNAP cihazlarında Apache HTTP Sunucusunda mod_sed’i etkinleştirmiş olan kullanıcıları etkiler.”
Tam bir yama beklerken, QNAP müşterilere LimitXMLRequestBody için varsayılan “1M” değerini korumalarını ve mod_sed’i devre dışı bırakmalarını tavsiye etti, çünkü bu iki şey delikleri etkin bir şekilde kapatıyor.
QNAP ayrıca mod_sed süreç içi içerik filtresinin QTS işletim sistemini çalıştıran NAS cihazlarındaki Apache HTTP Sunucusunda varsayılan olarak devre dışı bırakıldığını söyledi.
Aynı duyuruda QNAP, yakın zamanda keşfedilen yüksek önem derecesine sahip bir Linux güvenlik açığı olan “Dirty Pipe”ı düzeltmenin çok zor olduğunu açıkladı.
Dirty Pipe, QTS, QuTS hero ve QuTScloud’un birden çok sürümünü çalıştıran NAS cihazlarını etkiler ve tehdit aktörlerinin hizmet reddi (DoS) saldırılarını tetiklemesine veya uç noktaları uzaktan kilitlemesine olanak tanır.
Linux çekirdek ekibi, varlığı onaylanır onaylanmaz Dirty Pipe’ı yamaladı. Google, Android işletim sistemini de güncellerken, etkilenen tüm Linux sürümlerine bir güvenlik güncellemesi sunuldu.
Güvenlik açığı bulunan sistemlerde yama uygulanmadan bırakılırsa, bir saldırgan, etkilenen bilgisayarlar ve akıllı telefonlar üzerinde tam kontrol sağlamak için Dirty Pipe’dan yararlanabilir. Bu erişimle, kullanıcıların özel mesajlarını okuyabilecek, bankacılık uygulamalarını tehlikeye atabilecek ve daha fazlasını yapabilecekler.
Aracılığıyla BleeBilgisayar