Pwn2Own 2025’te Açığa Çıkan Sıfır Gün Güvenlik Açıkları
QNAP, Pwn2Own Ireland 2025 etkinliğinde güvenlik araştırmacıları tarafından istismar edilen yedi sıfır gün güvenlik açığını başarılı bir şekilde düzeltti. Bu güvenlik açıkları, QNAP’ın QTS ve QuTS hero işletim sistemlerini (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849) ve şirketin çeşitli yazılımlarını (Hyper Data Protector, Malware Remover ve HBS 3 Hybrid Backup Sync) kapsıyor. Bu tür güvenlik açıkları, siber saldırganlar için ciddi bir risk oluşturmakta ve bu nedenle hızlı bir şekilde kapatılması büyük önem taşımaktadır.
Etkinlikteki Güvenlik Açıkları ve İstismar Yöntemleri
Pwn2Own, siber güvenlik uzmanlarının, çeşitli cihazları ve yazılımları hedef alarak onların güvenlik açıklarını istismar etmeyi amaçladığı prestijli bir yarışmadır. Bu yıl, Summoning Team, DEVCORE, Team DDOS ve bir CyCraft teknoloji stajyeri, QNAP cihazlarının güvenlik açıklarını gösterdi. Bu tür etkinlikler, yazılım geliştiricilərinin ürünlerini daha güvenli hale getirmek için hızlı bir şekilde güncellemeler yapmalarında etkili bir tetikleyici oluyor.
Güvenlik Açıklarının Belirtilen Yazılım Versiyonlarındaki Düzeltmeleri
QNAP, bu güvenlik açıklarını kapatmak için kullanıcılarının ilgili yazılımları güncellemelerini önerdi. Düzeltmeler, aşağıdaki versiyonlarda bulunmaktadır:
- Hyper Data Protector 2.2.4.1 ve sonrası
- Malware Remover 6.6.8.20251023 ve sonrası
- HBS 3 Hybrid Backup Sync 26.2.0.938 ve sonrası
- QTS 5.2.7.3297 build 20251024 ve sonrası
- QuTS hero h5.2.7.3297 build 20251024 ve sonrası
- QuTS hero h5.3.1.3292 build 20251024 ve sonrası
Kullanıcılar, QTS veya QuTS Hero yönetici olarak oturum açtıktan sonra Kontrol Paneli’ni açarak Yazılım Güncelleme bölümünden güncelleme kontrolü yapabilirler. Uygulamaları güncelleyebilmek için ise, aynı şekilde App Center’a girip, güncellenecek uygulamanın adını yazarak arama yapabilirler.
Güvenlik Önlemleri ve Tavsiyeler
QNAP, kullanıcıların güvenliklerini artırmaları için tüm parolalarını değiştirmeleri ve sistemlerini düzenli olarak güncellemeleri gerektiğini belirtiyor. Böylelikle, daha önce keşfedilen güvenlik açıklarından kaynaklanan riskleri minimize etmiş olacaklar. Ayrıca, ürün destek durumunu kontrol ederek en son güncellemeleri takip etmeleri de önem taşıyor.
Geçmişteki Benzer Güvenlik Açıkları
QNAP, bir yıl önce de Pwn2Own Ireland 2024 etkinliğinde tespit edilen iki başka sıfır gün açığını kapatmıştı. Bu açıklar arasında Hybrid Backup Sync çözümünde tespit edilen bir OS komut enjeksiyon zayıflığı (CVE-2024-50388) ve QNAP’ın SMB hizmetinde tespit edilen bir SQL enjeksiyonu (CVE-2024-50387) yer alıyordu. Bu tür durumlar, sürekli güncellemelerin ve proaktif güvenlik önlemlerinin önemini ortaya koyuyor.
Son olarak, QNAP, QuMagie 2.7.0 sürümünü de yayımlayarak kritik bir SQL enjeksiyonu açığını (CVE-2025-52425) kapattı. Bu tür açıklar, uzaktan saldırganların yetkisiz kod veya komut yürütmesine olanak tanıdığı için son derece tehlikelidir.
Sonuç olarak, kullanıcıların sistemlerini güncel tutmaları ve tespit edilen güvenlik açıklarına karşı dikkatli olmaları gerekiyor. Bu tür etkinlikler, güvenlik zafiyetlerini açığa çıkarmak için önemli bir fırsat sunmakta ve yazılım geliştiricilerinin kullanıcılarını koruma konusunda daha etkili hale gelmelerini sağlamaktadır.
