Tayvan merkezli NAS üreticisi Synology, yakın zamanda açıklanan uzaktan kod yürütme (RCE) ve hizmet reddi (DoS) OpenSSL güvenlik açıklarının bazı ürünlerini etkilediğini açıkladı.
Şirket, yayınlamış olduğu güvenlik makalesinde “Birden fazla güvenlik açığı, uzaktaki saldırganların Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server veya VPN Server’ın bir sürümü aracılığıyla hizmet reddi saldırısı gerçekleştirmesine veya rastgele kod yürütmesine olanak tanıyor,” ifadelerini kullandı.
CVE-2021-3711 ve CVE-2021-3712 olarak izlenen güvenlik açıklarından etkilenen cihazlar ise şu şekilde: DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Sunucusu ve VPN Sunucusu.
Güvenlik açıkları önümüzdeki 90 gün içinde yamalanacak
İlk hataya, normalde çökmelere sebep olan SM2 şifreleme algoritmasındaki yığın tabanlı arabellek taşması neden oluyor, ancak saldırganlar tarafından rastgele kod yürütme için de kötüye kullanılabiliyor.
İkinci hatanın ise, DoS saldırılarında savunmasız uygulamaları çökertmek veya özel anahtarlar veya diğer hassas bilgiler gibi özel bellek içeriğine erişim sağlamak için kullanılabilecek ASN.1 dizelerini işleme esnasında gerçekleşen bir okuma arabelleği taşması olduğu açıklandı.
OpenSSL geliştirme ekibi, 24 Ağustos’ta iki kusuru gidermek için OpenSSL 1.1.1l’yi yayınlamış olsa da, Synology, etkilenen ürünler için yayınlanacak olan sürümlerin durumlarının ya “devam ediyor” ya da “beklemede” konumunda olduğunu söyledi.
Synology, bu güncellemeler için tahmini bir zaman çizelgesi açıklamadı, ancak güvenlik makalesi yayınladıktan sonra genellikle 90 gün içinde etkilenen yazılımları yamaladığını söyledi.
| Ürün | Önem | Yama Paketinin Durumu |
| DSM 7.0 | Önemli | Devam Ediyor |
| DSM 6.2 | Orta | Devam Ediyor |
| DSM UC | Orta | Devam Ediyor |
| SkyNAS | Orta | Bekliyor |
| VS960HD | Orta | Bekliyor |
| SRM 1.2 | Orta | Devam Ediyor |
| VPN Plus Server | Önemli | Devam Ediyor |
| VPN Server | Orta | Devam Ediyor |
DiskStation Manager güvenlik açıkları da inceleniyor
NAS üreticisi ayrıca, CVE ID’leri olmayan ve DSM 7.0, DSM 6.2, DSM UC, SkyNAS ve VS960HD’yi etkileyen birden çok DiskStation Manager (DSM) güvenlik açığı için de güvenlik güncellemeleri üzerinde çalışıyor.
Synology, 17 Ağustos’ta bu güvenlik kusurlarını kamuya açıklarken, “Birden fazla güvenlik açığı, uzaktan kimliği doğrulanmış kullanıcıların isteğe bağlı komutlar yürütmesine veya uzak saldırganların, DiskStation Manager’ın (DSM) açık bulunan bir sürümü aracılığıyla rastgele dosyalar yazmasına olanak tanır” dedi.
Şirket, geçen hafta bu DSM hatalarıyla ilgili CVE ID bilgilerini paylaşması istendiğinde “Ekiplerimiz bu potansiyel güvenlik açığını hala aktif olarak araştırıyor ve daha fazla bilgi açıklandığında CVE’ler atanacak” dedi.
Synology yetkilileri ayrıca, saldırganların geçen hafta açıklanan güvenlik açıklarından henüz yararlanmadıklarını da sözlerine ekledi.
Kaynak: bleepingcomputer.com
Diğer Haberler
VMware, Birden Fazla Ürünü İçin Güncelleme Yayınladı
Kritik F5 BIG-IP Zafiyeti, Hassas Sektörlerdeki Kullanıcıları Etkiliyor
Linux 30 Yaşında!
