QNAP, pazartesi günü ürünleri etkiliyen kritik bir zafiyet için güncelleme yayınlamıştı. CVE-2022-27596 olarak takip edilen zafiyetin istismari SQL enjeksiyonuna izin veriyor.
NAP, Nas cihazlarında keşfedilen zafiyetleri kapatmak için güncellemeler yayınladı ve kullanıcıların QTS ve QuTS yazılımlarını güncellemeleri konusunda uyardı.
CVE-2022-27596 olarak izlenen zafiyet “Kritik” (CVSS v3 puanı: 9.8) olarak derecelendirilmiş durumda ve QTS 5.0.1 ve QuTS hero h5.0.1 sürümlerini etkiliyor. Zafiyetin istismar edilmesi durumunda saldırganlar sistem üzerinde kod ejeksiyonu yapabiliyor.
QNAP, aşağıdaki sürümlere yükseltilmesi gerektiğini belirtiyor
- QTS 5.0.1.2234 build 20221201 ve sonrası
- QuTS hero h5.0.1.2248 build 20221215 ve sonrası
Güncellemeyi yüklemek için “Control Panel → System → Firmware Update.” seçeneğine gidilip “Live Update” bölümünün altında “Check for Update” seçeneğini tıklayın ve indirme ve kurulumun tamamlanmasını bekleyin. Alternatif olarak QNAP’ın İndirme Merkezinden güncellemeler yüklenebilir.
Saldırılara açık binlerce cihaz var
Censys güvenlik araştırmacıları, online olarak 60.000’den fazla QNAP NAS cihazından 550’den biraz fazlasının yamalandığını ortaya çıkaran bir rapor yayınladı. Ancak QNAP cihazlarının %98’inden fazlası bu saldırıya karşı şuan için açık durumda.
NAS üreticisi daha internet’e açık olan cihazları olan müşterilerini gelen saldırılara karşı korumak için buradan ulaşabileceğiniz adımları tavsiye ediyor.
Kaynak: bleepingcomputer.com
