Bir güvenlik firması, Tayvan merkezli QNAP tarafından üretilen 29.000 kadar ağ depolama cihazının, gerçekleştirilmesi kolay saldırılara karşı savunmasız olduğu ve kimliği doğrulanmamış kullanıcılara İnternette tam kontrol sağladığı konusunda uyardı.
Olası 10 üzerinden 9,8 önem derecesi taşıyan güvenlik açığı, Pazartesi günü QNAP bir yama yayınladı ve kullanıcıları yüklemeye çağırdı. CVE-2022-27596 olarak izlenen güvenlik açığı, uzaktaki bilgisayar korsanlarının SQL enjeksiyonu, Yapılandırılmış Sorgu Dili kullanan web uygulamalarını hedefleyen bir saldırı türü. SQL enjeksiyon güvenlik açıkları, hatalı bir web sitesinin arama alanlarına, oturum açma alanlarına veya URL’lerine özel hazırlanmış karakterler veya komut dosyaları girilerek istismar edilir. Enjeksiyonlar, verilerin değiştirilmesine, çalınmasına veya silinmesine veya güvenlik açığı bulunan uygulamaları çalıştıran sistemler üzerinde idari kontrol elde edilmesine olanak tanır.
QNAP’ın Pazartesi günkü danışma belgesi, 5.0.1.2234’ten önceki QTS sürümlerini ve h5.0.1.2248’den önceki QuTS Hero sürümlerini çalıştıran ağa bağlı depolama cihazlarının savunmasız olduğunu söyledi. Gönderi ayrıca yamalı sürümlere güncelleme yapmak için talimatlar da sağladı.
Salı günü, güvenlik şirketi Censys bildirildi ağ tarama aramalarından toplanan veriler, 29.000 kadar QNAP cihazının CVE-2022-27596’ya yama uygulanmamış olabileceğini gösterdi. Araştırmacılar, hangi sürümü çalıştırdıklarını gösteren İnternete bağlı 30.520 cihazdan yalnızca 557’sinin veya yaklaşık yüzde 2’sinin yamalı olduğunu buldu. Censys toplamda 67.415 QNAP cihazı tespit ettiğini söyledi. 29.000 rakamı, toplam cihaz sayısına yüzde 2 yama oranı uygulanarak tahmin edildi.
Censys araştırmacıları, “Deadbolt fidye yazılımının özellikle QNAP NAS cihazlarını hedef almaya yönelik olduğu göz önüne alındığında, bir açıktan yararlanma halka açıklanırsa, aynı suçluların onu aynı fidye yazılımını tekrar yaymak için kullanması çok muhtemeldir,” diye yazdı Censys araştırmacıları. “İstismar yayınlanır ve silah haline getirilirse, binlerce QNAP kullanıcısına sorun çıkarabilir.”
Bir e-postada, bir Censys temsilcisi, Çarşamba günü araştırmacıların sürüm numaralarını gösteren 30.475 QNAP cihazı bulduğunu (Salı gününe göre 45 daha az) ve bunlardan 29.923’ünün CVE-2022-27596’ya karşı savunmasız sürümleri çalıştırdığını söyledi.
Deadbolt’tan bahsedilmesi, QNAP cihazlarındaki önceki güvenlik açıklarından yararlanarak bu adı kullanan fidye yazılımı bulaştırmak için geçtiğimiz yıl boyunca gerçekleştirilen bir dizi saldırı kampanyasına atıfta bulunuyor. Biri en son kampanya dalgaları Eylül ayında meydana geldi ve istismar edildi CVE-2022-27593, Photo Station olarak bilinen tescilli bir özelliği kullanan cihazlarda bir güvenlik açığı. Güvenlik açığı, Başka Bir Alandaki Bir Kaynağa Harici Olarak Kontrol Edilen Referans olarak sınıflandırıldı.
Salı günkü Censys raporu, CVE-2022-27596’ya karşı savunmasız cihazların en yaygın olarak ABD’de olduğunu, ardından İtalya ve Tayvan’ın geldiğini söyledi.
Censys ayrıca aşağıdaki dökümü sağladı:
| Ülke | Toplam Ana Bilgisayar | Güvenlik Açığı Olmayan Ana Bilgisayarlar | Savunmasız Ana Bilgisayarlar |
| Amerika Birleşik Devletleri | 3.271 | 122 | 3.149 |
| İtalya | 3.239 | 39 | 3.200 |
| Tayvan | 1.951 | 9 | 1.942 |
| Almanya | 1.901 | 20 | 1.881 |
| Japonya | 1.748 | 34 | 1.714 |
| Fransa | 1.527 | 69 | 1.458 |
| Hong Kong | 1.425 | 3 | 1.422 |
| Güney Kore | 1.313 | 2 | 1.311 |
| Birleşik Krallık | 1.167 | 10 | 1.157 |
| Polonya | 1.001 | 17 | 984 |
Geçmişte, QNAP ayrıca önerilen kullanıcıların saldırıya uğrama şansını azaltmak için aşağıdaki adımların tümünü izlemesi:
- Yönlendiricideki bağlantı noktası iletme işlevini devre dışı bırakın.
- Güvenli uzaktan erişimi etkinleştirmek ve İnternet’e maruz kalmayı önlemek için NAS üzerinde myQNAPcloud’u kurun.
- NAS üretici yazılımını en son sürüme güncelleyin.
- NAS’taki tüm uygulamaları en son sürümlerine güncelleyin.
- NAS’taki tüm kullanıcı hesapları için güçlü parolalar uygulayın.
- Verilerinizi korumak için anlık görüntüler alın ve düzenli olarak yedekleyin.
Gibi bildirildi Bleeping Computer tarafından, QNAP cihazları yıllar boyunca başarılı bir şekilde saldırıya uğradı ve Muhstik, eCh0raix/QNAPCrypt, QSnatch, Agelocker, Qlocker, DeadBolt ve Checkmate dahil olmak üzere diğer fidye yazılımı türlerine bulaştı. Bu cihazların kullanıcıları artık harekete geçmelidir.